Udostępnij przez

Uzyskiwanie dostępu do usługi Azure Key Vault za zaporą

Aby uzyskać dostęp do magazynu kluczy zza zapory, aplikacja kliencka musi mieć dostęp do wielu punktów końcowych dla następujących funkcji:

  • Uwierzytelnianie: punkty końcowe firmy Microsoft Entra na potrzeby uwierzytelniania podmiotu zabezpieczeń. Aby uzyskać więcej informacji, zobacz Authentication in Azure Key Vault (Uwierzytelnianie w usłudze Azure Key Vault).
  • Zarządzanie (płaszczyzna sterowania): punkty końcowe usługi Azure Resource Manager do tworzenia, odczytu, aktualizacji, usuwania i konfiguracji skarbców kluczy.
  • Dostęp do płaszczyzny danych: punkty końcowe specyficzne dla usługi Key Vault (na przykład https://yourvaultname.vault.azure.net) na potrzeby uzyskiwania dostępu do kluczy, wpisów tajnych i certyfikatów oraz zarządzania nimi.

W zależności od konfiguracji i środowiska istnieją pewne odmiany.

Uwaga / Notatka

Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń sieci, w tym opcje konfiguracji zapory od większości do najmniej restrykcyjnych, zobacz Zabezpieczanie usługi Azure Key Vault: zabezpieczenia sieci i zabezpieczenia sieci dla usługi Azure Key Vault.

Porty sieciowe

Cały ruch do magazynu kluczy dla wszystkich trzech funkcji (uwierzytelnianie, zarządzanie i dostęp do płaszczyzny danych) odbywa się przez HTTPS na porcie 443. Jednak czasami występuje ruch HTTP (port 80) dla sprawdzania listy odwołania certyfikatów (CRL). Klienci, którzy obsługują protokół OCSP (Online Certificate Status Protocol) nie powinni docierać do listy CRL, ale czasami mogą uzyskać dostęp do punktów końcowych listy CRL wymienionych w szczegółach urzędu certyfikacji platformy Azure.

Punkty końcowe uwierzytelniania

Aplikacje klienckie usługi Key Vault muszą uzyskiwać dostęp do punktów końcowych usługi Microsoft Entra na potrzeby uwierzytelniania. Używany punkt końcowy zależy od konfiguracji dzierżawy Microsoft Entra, typu podmiotu (podmiot użytkownika lub podmiot usługi) oraz typu konta (na przykład konta Microsoft lub konta służbowego). Aby uzyskać więcej informacji na temat uwierzytelniania, zobacz Uwierzytelnianie w usłudze Azure Key Vault.

Główny typ Punkt końcowy:port
Użytkownik korzystający z konta Microsoft
(na przykład user@hotmail.com)		 login.live.com:443

Cały świat:
login.microsoftonline.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
login.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
login.microsoftonline.us:443
Użytkownik lub jednostka usługi przy użyciu konta służbowego lub szkolnego z Microsoft Entra ID (na przykład user@contoso.com) Cały świat:
login.microsoftonline.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
login.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
login.microsoftonline.us:443
Użytkownik lub jednostka usługi używający konta służbowego wraz z usługą Active Directory Federation Services (AD FS) lub innym federacyjnym punktem końcowym (na przykład user@contoso.com). Wszystkie punkty końcowe dla konta służbowego oraz usługi AD FS lub innych federacyjnych punktów końcowych

Aby uzyskać więcej informacji na temat scenariuszy uwierzytelniania i przepływów, zobacz Przepływ uwierzytelniania entra firmy Microsoft, Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i Protokoły uwierzytelniania usługi Active Directory.

Punkty końcowe płaszczyzny sterowania

W przypadku operacji zarządzania usługi Key Vault (CRUD i ustawiania zasad dostępu) aplikacja kliencka magazynu kluczy musi uzyskiwać dostęp do punktów końcowych usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat modelu dostępu do płaszczyzny sterowania versus płaszczyzny danych, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach platformy Azure.

Typ operacji Punkt końcowy:port
Operacje płaszczyzny sterowania usługi Key Vault
za pośrednictwem usługi Azure Resource Manager		 Cały świat:
management.azure.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
management.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
management.usgovcloudapi.net:443
Microsoft Graph API Cały świat:
graph.microsoft.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
graph.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
graph.microsoft.com:443

Punkty końcowe płaszczyzny danych

W przypadku wszystkich operacji zarządzania obiektami magazynu kluczy (kluczami, tajemnicami i certyfikatami) oraz operacji kryptograficznych, klient magazynu kluczy musi uzyskać dostęp do punktu końcowego magazynu kluczy. Sufiks DNS punktu końcowego różni się w zależności od lokalizacji magazynu kluczy. Punkt końcowy magazynu kluczy ma format nazwa-magazynu. sufiks dns specyficzny dla regionu, zgodnie z opisem w poniższej tabeli.

Typ operacji Punkt końcowy:port
Operacje, w tym operacje kryptograficzne na kluczach; tworzenie, odczytywanie, aktualizowanie i usuwanie kluczy i wpisów tajnych; ustawianie lub pobieranie tagów i innych atrybutów obiektów magazynu kluczy (kluczy lub wpisów tajnych) Cały świat:
<nazwa_magazynu>.vault.azure.net:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
<nazwa-magazynu.vault.azure.cn:443>

Wersja platformy Azure dla administracji USA:
<vault-name.vault.usgovcloudapi.net:443>

Zakresy adresów IP

Usługa Key Vault używa innych zasobów platformy Azure, takich jak infrastruktura PaaS, więc nie można podać określonego zakresu adresów IP, które mają punkty końcowe usługi Key Vault w danym momencie. Jeśli zapora obsługuje tylko zakresy adresów IP, przejrzyj dokumenty dotyczące zakresów adresów IP centrów danych Microsoft Azure.

Uwierzytelnianie i tożsamość (Microsoft Entra ID) to usługa globalna i może przełączać się awaryjnie do innych regionów lub zmieniać kierunek ruchu bez uprzedzenia. W tym scenariuszu dodaj do zapory wszystkie zakresy adresów IP wymienione w temacie Authentication and Identity IP Addresses (Adresy IP uwierzytelniania i tożsamości ).

Dalsze kroki

  • Last updated on