Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para aceder a um cofre de chaves por detrás de um firewall, a sua aplicação cliente deve conseguir aceder a múltiplos endpoints para as seguintes funcionalidades:
- Autenticação: Endpoints do Microsoft Entra para autenticar a entidade de segurança. Para mais informações, consulte Autenticação no Azure Key Vault.
- Gestão (plano de controlo): Endpoints do Azure Resource Manager para criar, ler, atualizar, eliminar e configurar cofres de chaves.
-
Acesso ao plano de dados: endpoints específicos do Key Vault (por exemplo,
https://yourvaultname.vault.azure.net) para aceder e gerir chaves, segredos e certificados.
Dependendo da sua configuração e ambiente, existem algumas variações.
Observação
Para orientações abrangentes sobre segurança de rede, incluindo opções de configuração de firewalls do mais ao menos restritivo, consulte Secure your Azure Key Vault: Network Security and Network Security for Azure Key Vault.
Portos
Todo o tráfego para um cofre de chaves para todas as três funções (autenticação, gerenciamento e acesso ao plano de dados) passa por HTTPS: porta 443. No entanto, ocasionalmente há tráfego HTTP (porta 80) para verificações da lista de revogação de certificados (CRL). Os clientes que suportam o Online Certificate Status Protocol (OCSP) não devem chegar ao CRL, mas podem ocasionalmente aceder aos endpoints CRL listados nos detalhes do Azure CA.
Endpoints de autenticação
As aplicações cliente do Key Vault devem aceder aos endpoints Microsoft Entra para autenticação. O endpoint utilizado depende da configuração do tenant Microsoft Entra, do tipo de principal (principal de utilizador ou principal de serviço) e do tipo de conta (por exemplo, uma conta Microsoft ou uma conta de trabalho ou escola). Para mais informações sobre autenticação, consulte Autenticação no Azure Key Vault.
| Tipo principal | Ponto de extremidade:porta |
|---|---|
| Utilizador de conta Microsoft (por exemplo, user@hotmail.com) |
login.live.com:443 Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Usuário ou diretor de serviço usando uma conta corporativa ou de estudante com ID do Microsoft Entra (por exemplo, user@contoso.com) |
Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Utilizador ou entidade de serviço utilizando uma conta de trabalho ou escolar, mais os Serviços de Federação do Active Directory (AD FS) ou outro ponto final federado (por exemplo, user@contoso.com) | Todos os endpoints de uma conta de trabalho ou estudante, e AD FS ou outros endpoints federados. |
Para mais informações sobre cenários e fluxos de autenticação, consulte Fluxo de autenticação Microsoft Entra, Integração de Aplicações com ID Microsoft Entra e Protocolos de Autenticação Active Directory.
Pontos de extremidade do plano de controlo
Para operações de gestão do Key Vault (CRUD e definição de política de acesso), a aplicação cliente do Key Vault deve aceder aos endpoints do Azure Resource Manager. Para mais informações sobre o modelo de acesso entre plano de controlo e plano de dados, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com controlo de acesso baseado em funções Azure.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações do plano de controlo do Key Vault através do Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado pela 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| Microsoft Graph API |
Global: graph.microsoft.com:443 Microsoft Azure operado pela 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Pontos finais do plano de dados
Para todas as operações de gestão de objetos do cofre de chaves (chaves, segredos e certificados) e operações criptográficas, o cliente do cofre de chaves deve aceder ao endpoint do cofre de chaves. O sufixo DNS do endpoint varia dependendo da localização do Key Vault. O endpoint do cofre de chaves tem o formato nome-do-cofre.sufixo-DNS-específico-da-região, conforme descrito na tabela seguinte.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações, incluindo operações criptográficas em chaves; criar, ler, atualizar e apagar chaves e segredos; definir ou obter tags e outros atributos em objetos do cofre de chaves (chaves ou segredos) |
Global: <nome do cofre.vault.azure.net:443> Microsoft Azure operado pela 21Vianet: <nome do cofre.vault.azure.cn:443> Azure US Government: <nome do cofre.vault.usgovcloudapi.net:443> |
Intervalos de endereços IP
O serviço Key Vault utiliza outros recursos Azure, como a infraestrutura PaaS, por isso não é possível fornecer uma gama específica de endereços IP que os endpoints dos serviços Key Vault têm em qualquer momento específico. Se o seu firewall suporta apenas intervalos de endereços IP, consulte os documentos Microsoft Azure Datacenter IP Ranges:
- Pública
- Governo dos EUA
- China
Autenticação e Identidade (Microsoft Entra ID) é um serviço global e pode fazer failover para outras regiões ou transferir tráfego sem aviso prévio. Neste cenário, adicione todos os intervalos de IP listados em Endereços IP de Autenticação e Identidade ao firewall.
Próximos passos
- Segurança de rede para o Azure Key Vault
- Proteja o seu Azure Key Vault
- Definir as configurações de rede do Azure Key Vault
- Pontos de extremidade de serviço de rede virtual para o Azure Key Vault
- Integrar o Cofre da Chave com o Azure Private Link
- Autenticação no Cofre da Chave do Azure
- Se você tiver dúvidas sobre o Cofre de Chaves, visite a página de perguntas e respostas da Microsoft para o Cofre de Chaves do Azure.