Aceder ao Cofre de Chaves do Azure protegido por firewall
Que portas, hosts ou endereços IP devo abrir para habilitar meu aplicativo cliente do cofre de chaves atrás de um firewall para acessar o cofre de chaves?
Para aceder a um cofre de chaves, a sua aplicação cliente do cofre de chaves tem de aceder a vários pontos finais para várias funcionalidades:
- Autenticação via Microsoft Entra ID.
- Gestão do Cofre de Chaves do Azure. Isto inclui criar, ler, atualizar, eliminar e definir políticas de acesso através do Azure Resource Manager.
- Aceder e gerir objetos (chaves e segredos) armazenados no próprio Key Vault, através do ponto final específico do Key Vault (por exemplo,
https://yourvaultname.vault.azure.net).
Dependendo da configuração e do ambiente, existem algumas variações.
Portas
Todo o tráfego para um cofre de chaves para as três funções (autenticação, gestão e acesso ao plano de dados) é feito por HTTPS: porta 443. No entanto, existirá ocasionalmente tráfego HTTP (porta 80) para CRL. Os clientes que suportam OCSP não devem alcançar a CRL, mas ocasionalmente podem alcançar os pontos de extremidade de CRL listados aqui.
Autenticação
Os aplicativos cliente do cofre de chaves precisarão acessar os pontos de extremidade do Microsoft Entra para autenticação. O ponto de extremidade usado depende da configuração do locatário do Microsoft Entra, do tipo de entidade (entidade de usuário ou entidade de serviço) e do tipo de conta, por exemplo, uma conta da Microsoft ou uma conta corporativa ou de estudante.
| Tipo de principal | Ponto final:porta |
|---|---|
| Utilizador com conta Microsoft (por exemplo, user@hotmail.com) |
Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Alemanha: login.microsoftonline.de:443 e ainda login.live.com:443 |
| Usuário ou diretor de serviço usando uma conta corporativa ou de estudante com ID do Microsoft Entra (por exemplo, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Alemanha: login.microsoftonline.de:443 |
| Principal de utilizador ou serviço com uma conta escolar ou profissional, mais Serviços de Federação do Active Directory (AD FS) ou outro ponto final federado (por exemplo, user@contoso.com) | Todos os pontos finais para uma conta escolar ou profissional, mais AD FS ou outros pontos finais federados |
Existem outros cenários possíveis complexos. Consulte Fluxo de autenticação do Microsoft Entra, Integrando aplicativos com a ID do Microsoft Entra e Protocolos de autenticação do Ative Directory para obter informações adicionais.
Gestão do Cofre de Chaves
Para a gestão do Cofre de Chaves (CRUD e definição da política de acesso), a aplicação cliente do cofre de chaves tem de aceder a um ponto final do Azure Resource Manager.
| Tipo de operação | Ponto final:porta |
|---|---|
| Operações do painel de controlo do Cofre de Chaves através do Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado pela 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 Azure Alemanha: management.microsoftazure.de:443 |
| Microsoft Graph API | Global: graph.microsoft.com:443 Microsoft Azure operado pela 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 Azure Alemanha: graph.cloudapi.de:443 |
Operações do Cofre de Chaves
Para todas as operações criptográficas e de gestão de objetos do cofre de chaves (chaves e segredos), o cliente do cofre de chaves precisa de aceder ao ponto final do cofre de chaves. O sufixo DNS do ponto final varia consoante a localização do seu cofre de chaves. O ponto final do cofre de chaves tem o formato vault-name.region-specific-dns-suffix, tal como descrito na tabela seguinte.
| Tipo de operação | Ponto final:porta |
|---|---|
| Operações, incluindo operações criptográficas em chaves; criar, ler, atualizar e eliminar chaves e segredos; definir ou obter etiquetas e outros atributos de objetos de cofre de chaves (chaves ou segredos) | Global: <vault-name>.vault.azure.net:443 Microsoft Azure operado pela 21Vianet: <vault-name>.vault.azure.cn:443 Azure US Government: <vault-name>.vault.usgovcloudapi.net:443 Azure Alemanha: <vault-name>.vault.microsoftazure.de:443 |
Intervalos de endereços IP
O serviço Cofre de Chaves utiliza outros recursos do Azure, como a infraestrutura PaaS. Por isso, não é possível fornecer um intervalo de endereços IP específico que os pontos finais do serviço Cofre de Chaves terão num determinado momento. Se o firewall oferecer suporte apenas a intervalos de endereços IP, consulte os documentos Intervalos de IP do Datacenter do Microsoft Azure disponíveis em:
Autenticação e Identidade (Microsoft Entra ID) é um serviço global e pode fazer failover para outras regiões ou mover o tráfego sem aviso prévio. Neste cenário, todos os intervalos de IP listados em Endereços IP de Identidade e Autenticação devem ser adicionados à firewall.
Próximos passos
Se você tiver dúvidas sobre o Cofre de Chaves, visite a página de perguntas e respostas da Microsoft para o Cofre de Chaves do Azure.