Få åtkomst till Azure Key Vault bakom en brandvägg
Vilka portar, värdar eller IP-adresser ska jag öppna för att aktivera mitt key vault-klientprogram bakom en brandvägg för att få åtkomst till nyckelvalvet?
För att få åtkomst till ett nyckelvalv måste ditt klientprogram ha åtkomst till flera slutpunkter för olika funktioner:
- Autentisering via Microsoft Entra-ID.
- Hantering av Azure Key Vault. Detta omfattar att skapa, läsa, uppdatera, ta bort och ange åtkomstprinciper via Azure Resource Manager.
- Åtkomst till och hantering av objekt (nycklar och hemligheter) som lagras i själva nyckelvalvet går via den specifika slutpunkten för nyckelvalv (t.ex.
https://yourvaultname.vault.azure.net).
Det finns vissa varianter beroende på din konfiguration och miljö.
Hamnar
All trafik till nyckelvalvet för alla tre funktioner (autentisering, hantering och dataplanåtkomst) går över HTTPS: port 443. Det är dock ibland HTTP (port 80)-trafik för CRL. Klienter som stöder OCSP bör inte nå CRL, men kan ibland nå CRL-slutpunkter som anges här.
Autentisering
Key Vault-klientprogram måste komma åt Microsoft Entra-slutpunkter för autentisering. Vilken slutpunkt som används beror på konfigurationen av Microsoft Entra-klientorganisationen, typen av huvudnamn (användarens huvudnamn eller tjänstens huvudnamn) och typen av konto, till exempel ett Microsoft-konto eller ett arbets- eller skolkonto.
| Typ av huvudkonto | Slutpunkt:port |
|---|---|
| Användare som använder Microsoft-konto (till exempel user@hotmail.com) |
Globalt: login.microsoftonline.com:443 Microsoft Azure drivs av 21Vianet: login.chinacloudapi.cn:443 Azure för amerikanska myndigheter: login.microsoftonline.us:443 Azure i Tyskland: login.microsoftonline.de:443 och login.live.com:443 |
| Användarens eller tjänstens huvudnamn med ett arbets- eller skolkonto med Microsoft Entra-ID (till exempel user@contoso.com) | Globalt: login.microsoftonline.com:443 Microsoft Azure drivs av 21Vianet: login.chinacloudapi.cn:443 Azure för amerikanska myndigheter: login.microsoftonline.us:443 Azure i Tyskland: login.microsoftonline.de:443 |
| Användarens eller tjänstens huvudkonto med ett arbets- eller skolkonto, plus Active Directory Federation Services (AD FS) eller annan federerad slutpunkt (t.ex. user@contoso.com) | Alla slutpunkter för ett arbets- eller skolkonto, plus AD FS eller andra federerade slutpunkter |
Det finns andra möjliga avancerade scenarier. Mer information finns i Microsoft Entra-autentiseringsflöde, integrering av program med Microsoft Entra-ID och Active Directory-autentiseringsprotokoll.
Hantering av Nyckelvalv
För hantering av Nyckelvalv (CRUD och inställning av åtkomstprincip) måste klientprogrammet för nyckelvalv ha åtkomst till Azure Resource Manager-slutpunkten.
| Typ av åtgärd | Slutpunkt:port |
|---|---|
| Kontrollplanåtgärder för Nyckelvalv via Azure Resource Manager |
Globalt: management.azure.com:443 Microsoft Azure drivs av 21Vianet: management.chinacloudapi.cn:443 Azure för amerikanska myndigheter: management.usgovcloudapi.net:443 Azure i Tyskland: management.microsoftazure.de:443 |
| Microsoft Graph API | Globalt: graph.microsoft.com:443 Microsoft Azure drivs av 21Vianet: graph.chinacloudapi.cn:443 Azure för amerikanska myndigheter: graph.microsoft.com:443 Azure i Tyskland: graph.cloudapi.de:443 |
Åtgärder i Nyckelvalv
Vid all hantering och kryptografiska åtgärder för nyckelvalvsobjekt (nycklar och hemligheter) måste klientprogrammet för nyckelvalv ha åtkomst till slutpunkten för nyckelvalvet. Slutpunktens DNS-suffix är olika beroende på placeringen av ditt nyckelvalv. Slutpunkten för Nyckelvalv har följande format: valvnamn.regionsspecifikt dns-suffix som beskrivs i följande tabell.
| Typ av åtgärd | Slutpunkt:port |
|---|---|
| Åtgärder inklusive kryptografiska åtgärder på nycklar, skapa, läsa, uppdatera och ta bort nycklar och hemligheter, ställa in eller få taggar och andra attribut för nyckelvalvobjekt (nycklar eller hemligheter) | Globalt: <vault-name>.vault.azure.net:443 Microsoft Azure drivs av 21Vianet: <vault-name>.vault.azure.cn:443 Azure för amerikanska myndigheter: <vault-name>.vault.usgovcloudapi.net:443 Azure i Tyskland: <vault-name>.vault.microsoftazure.de:443 |
IP-adressintervall
Key Vault-tjänsten använder andra Azure-resurser, som PaaS-infrastruktur. Därför är det inte möjligt att ange ett specifikt IP-adressintervall som Key Vault-tjänstens slutpunkter har vid given tidpunkt. Om brandväggen endast stöder IP-adressintervall kan du läsa ip-intervalldokumenten för Microsoft Azure Datacenter på:
Autentisering och identitet (Microsoft Entra-ID) är en global tjänst och kan redundansväxla till andra regioner eller flytta trafik utan föregående meddelande. I det här scenariot alla IP-adressintervall som anges i IP-adresser för autentisering och identitet läggas till i brandväggen.
Nästa steg
Om du har frågor om Key Vault kan du gå till microsofts Q&A-frågesida för Azure Key Vault.