Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para acessar um cofre de chaves por trás de um firewall, seu aplicativo cliente deve ser capaz de acessar vários endpoints para as seguintes funcionalidades:
- Autenticação: pontos de extremidade do Microsoft Entra para autenticar a entidade de segurança. Para obter mais informações, consulte Autenticação no Azure Key Vault.
- Gerenciamento (plano de controle): pontos de extremidade do Azure Resource Manager para criar, ler, atualizar, excluir e configurar cofres de chaves.
-
Acesso ao plano de dados: pontos de extremidade específicos do Key Vault (por exemplo,
https://yourvaultname.vault.azure.net) para acessar e gerenciar chaves, segredos e certificados.
Dependendo da configuração e do ambiente, há algumas variações.
Observação
Para obter diretrizes abrangentes de segurança de rede, incluindo opções de configuração de firewall da maioria para as menos restritivas, consulte Proteger seu Azure Key Vault: segurança de rede e segurança de rede para o Azure Key Vault.
Portas
Todo o tráfego para um cofre de chaves para todas as três funções (autenticação, gerenciamento e acesso ao plano de dados) passa por HTTPS: porta 443. No entanto, ocasionalmente, há tráfego HTTP (porta 80) para verificações de CRL (lista de certificados revogados). Os clientes que oferecem suporte ao Protocolo de Status de Certificado Online (OCSP) não devem acessar a CRL, mas podem ocasionalmente alcançar pontos de extremidade de CRL listados nos detalhes da AC do Azure.
Pontos de extremidade de autenticação
Os aplicativos cliente do cofre de chaves devem acessar os pontos de extremidade do Microsoft Entra para autenticação. O ponto de extremidade utilizado depende da configuração do locatário do Microsoft Entra, do tipo de entidade principal (entidade principal de usuário ou entidade principal de serviço) e do tipo de conta (por exemplo, uma conta Microsoft ou uma conta corporativa ou escolar). Para obter mais informações sobre autenticação, consulte Autenticação no Azure Key Vault.
| Tipo principal | Ponto de extremidade:porta |
|---|---|
| Usuário usando conta da Microsoft (por exemplo, user@hotmail.com) |
login.live.com:443 Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure Governo dos EUA: login.microsoftonline.us:443 |
| Usuário ou principal de serviço usando uma conta corporativa ou de estudante com a ID do Microsoft Entra (por exemplo, user@contoso.com) |
Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure Governo dos EUA: login.microsoftonline.us:443 |
| Usuário ou entidade de serviço que usa uma conta corporativa ou de estudante, além de AD FS (Serviços de Federação do Active Directory) ou outro ponto de extremidade federado (por exemplo, user@contoso.com) | Todos os endpoints de uma conta corporativa ou acadêmica, além do AD FS ou outros endpoints federados |
Para obter mais informações sobre cenários e fluxos de autenticação, consulte o fluxo de autenticação do Microsoft Entra, a integração de aplicativos com a ID do Microsoft Entra e os Protocolos de Autenticação do Active Directory.
Controlar pontos de extremidade do plano
Para operações de gerenciamento do Key Vault (CRUD e definição de política de acesso), o cliente do Key Vault deve acessar os endpoints do Azure Resource Manager. Para obter mais informações sobre o plano de controle versus o modelo de acesso do plano de dados, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com o controle de acesso baseado em função do Azure.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações do plano de controle do cofre do Key Vault por meio do Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado pela 21Vianet: management.chinacloudapi.cn:443 Azure Governo dos EUA: management.usgovcloudapi.net:443 |
| Microsoft Graph API |
Global: graph.microsoft.com:443 Microsoft Azure operado pela 21Vianet: graph.chinacloudapi.cn:443 Azure Governo dos EUA: graph.microsoft.com:443 |
Pontos de extremidade do plano de dados
Para todas as operações de gerenciamento e criptografia de objetos do cofre de chaves (chaves, segredos e certificados), o cliente do cofre de chaves deve acessar o ponto de extremidade do cofre de chaves. O sufixo DNS do ponto de extremidade varia de acordo com o local de seu cofre de chaves. O ponto de extremidade do cofre de chaves tem o formato nome-do-cofre.region-specific-dns-suffix, conforme descrito na tabela a seguir.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações, incluindo operações criptográficas em chaves; criação, leitura, atualização e exclusão de chaves e segredos; definir ou obter etiquetas e outros atributos em objetos do repositório de chaves (chaves ou segredos) |
Global: <vault-name>.vault.azure.net:443 Microsoft Azure operado pela 21Vianet: <vault-name>.vault.azure.cn:443 Azure Governo dos EUA: <vault-name>.vault.usgovcloudapi.net:443 |
Intervalos de endereços IP
O serviço do Key Vault usa outros recursos do Azure, como a infraestrutura de PaaS, portanto, não é possível fornecer um intervalo específico de endereços IP que os pontos de extremidade de serviço do Key Vault têm em qualquer momento específico. Se o firewall der suporte apenas a intervalos de endereços IP, consulte os documentos dos Intervalos de IP do Datacenter do Microsoft Azure:
O serviço de Autenticação e Identidade (Microsoft Entra ID) é global e pode migrar para outras regiões ou redirecionar o tráfego sem aviso prévio. Nesse cenário, adicione todos os intervalos de IP listados em Endereços IP de Autenticação e Identidade ao firewall.
Próximas etapas
- Segurança de rede para o Azure Key Vault
- Proteger seu Azure Key Vault
- Definir as configurações de rede do Azure Key Vault
- Pontos de extremidade de serviço de rede virtual para o Azure Key Vault
- Integrar o Key Vault ao Link Privado do Azure
- Autenticação do Azure Key Vault
- Se você tiver dúvidas sobre o Key Vault, visite a página de perguntas do Microsoft Q&A para o Azure Key Vault.