Güvenlik duvarının ardındayken Azure Anahtar Kasası’na erişme
Güvenlik duvarının arkasındaki anahtar kasası istemci uygulamamın anahtar kasasına erişmesini sağlamak için hangi bağlantı noktalarını, konakları veya IP adreslerini açmalıyım?
Bir anahtar kasasına erişmek için, anahtar kasası istemci uygulamanızın çeşitli işlevlere ilişkin birden çok uç noktaya erişebilmesi gerekir:
- Microsoft Entra Kimliği aracılığıyla kimlik doğrulaması.
- Azure Anahtar Kasası'nın yönetimi. Buna, Azure Resource Manager aracılığıyla erişim ilkeleri oluşturma, okuma, güncelleştirme, silme ve ayarlama da dahildir.
- Key Vault’ta depolanan nesnelere (anahtarlar ve gizli diziler) erişim ve bu nesnelerin yönetimi, Key Vault’a özgü uç nokta üzerinden gerçekleşir (örneğin,
https://yourvaultname.vault.azure.net).
Yapılandırmanıza ve ortamınıza bağlı olarak, bazı farklılıklar mevcuttur.
Bağlantı Noktaları
Üç işlev (kimlik doğrulama, yönetim ve veri düzlemi erişimi) için de anahtar kasası trafiği HTTPS: bağlantı noktası 443 üzerinden gider. Ancak CRL için zaman zaman HTTP (bağlantı noktası 80) trafiği de olacaktır. OCSP'yi destekleyen istemcilerin CRL'ye ulaşmaması gerekir, ancak bazen burada listelenen CRL uç noktalarına ulaşabilir.
Kimlik Doğrulaması
Anahtar kasası istemci uygulamalarının kimlik doğrulaması için Microsoft Entra uç noktalarına erişmesi gerekir. Kullanılan uç nokta, Microsoft Entra kiracı yapılandırmasına, sorumlu türüne (kullanıcı sorumlusu veya hizmet sorumlusu) ve hesap türüne (örneğin, bir Microsoft hesabı veya iş veya okul hesabı) bağlıdır.
| Sorumlu türü | Uç nokta:bağlantı noktası |
|---|---|
| Microsoft hesabı kullanan kullanıcı (örneğin, user@hotmail.com) |
Genel: login.microsoftonline.com:443 21Vianet tarafından sağlanan Microsoft Azure: login.chinacloudapi.cn:443 Azure ABD: login.microsoftonline.us:443 Azure Almanya: login.microsoftonline.de:443 Ve login.live.com:443 |
| Microsoft Entra Id ile bir iş veya okul hesabı kullanan kullanıcı veya hizmet sorumlusu (örneğin, user@contoso.com) | Genel: login.microsoftonline.com:443 21Vianet tarafından sağlanan Microsoft Azure: login.chinacloudapi.cn:443 Azure ABD: login.microsoftonline.us:443 Azure Almanya: login.microsoftonline.de:443 |
| İş veya okul hesabı ve Active Directory Federasyon Hizmetleri (AD FS) veya başka bir federasyon uç noktası kullanan kullanıcı veya hizmet sorumlusu (örneğin, user@contoso.com) | İş veya okul hesabı için tüm uç noktalar ve AD FS veya diğer federasyon uç noktaları |
Farklı olası karmaşık senaryolar da mevcuttur. Ek bilgi için Microsoft Entra kimlik doğrulama akışı, Uygulamaları Microsoft Entra Kimliği ile Tümleştirme ve Active Directory Kimlik Doğrulama Protokolleri'ne bakın.
Anahtar Kasası yönetimi
Anahtar Kasası yönetimi için (CRUD ve erişim ilkesi ayarı), anahtar kasası istemci uygulamasının Azure Resource Manager uç noktasına erişmesi gerekir.
| İşlem türü | Uç nokta:bağlantı noktası |
|---|---|
| Anahtar Kasası denetim düzlemi işlemleri Azure Resource Manager yoluyla |
Genel: management.azure.com:443 21Vianet tarafından sağlanan Microsoft Azure: management.chinacloudapi.cn:443 Azure ABD: management.usgovcloudapi.net:443 Azure Almanya: management.microsoftazure.de:443 |
| Microsoft Graph API | Genel: graph.microsoft.com:443 21Vianet tarafından sağlanan Microsoft Azure: graph.chinacloudapi.cn:443 Azure ABD: graph.microsoft.com:443 Azure Almanya: graph.cloudapi.de:443 |
Anahtar Kasası işlemleri
Tüm anahtar kasası nesne (anahtarlar ve gizli anahtarlar) yönetimi ve şifreleme işlemleri için, anahtar kasası istemcisinin anahtar kasası uç noktasına erişmesi gerekir. Uç nokta DNS soneki, anahtar kasanızın konumuna bağlı olarak farklılık gösterir. Anahtar kasası uç noktası, aşağıdaki tabloda gösterildiği gibi vault-name.region-specific-dns-suffix biçimindedir.
| İşlem türü | Uç nokta:bağlantı noktası |
|---|---|
| Anahtarlar üzerindeki şifreleme işlemlerini de içeren işlemler, anahtarları ve gizli anahtarları oluşturma, okuma, güncelleştirme ve silme, anahtar kasası nesnelerindeki etiketleri ve diğer öznitelikleri (anahtarlar ya da gizli anahtarlar) ayarlama veya alma | Genel: <vault-name>.vault.azure.net:443 21Vianet tarafından sağlanan Microsoft Azure: <vault-name>.vault.azure.cn:443 Azure ABD: <vault-name>.vault.usgovcloudapi.net:443 Azure Almanya: <vault-name>.vault.microsoftazure.de:443 |
IP adres aralıkları
Anahtar Kasası hizmeti, PaaS altyapısı gibi diğer Azure kaynaklarını kullanır. Bu nedenle, Anahtar Kasası hizmet uç noktalarının belirli bir zamanda sahip olacağı IP adresleri için özel bir aralık belirtmek mümkün değildir. Güvenlik duvarınız yalnızca IP adresi aralıklarını destekliyorsa şu adreste bulunan Microsoft Azure Veri Merkezi IP Aralıkları belgelerine bakın:
Kimlik Doğrulama ve Kimlik (Microsoft Entra Id) genel bir hizmettir ve bildirimde bulunmaksızın diğer bölgelere yük devredebilir veya trafiği taşıyabilir. Bu senaryoda, Kimlik Doğrulama ve Kimlik IP Adresleri’nde listelenen tüm IP aralıklarının güvenlik duvarına eklenmesi gerekir.
Sonraki adımlar
Key Vault hakkında sorularınız varsa Azure Key Vault için Microsoft Soru-Cevap soru sayfasını ziyaret edin.