Sdílet prostřednictvím


Přístup ke službě Azure Key Vault za bránou firewall

Jaké porty, hostitele nebo IP adresy mám otevřít, aby klientská aplikace trezoru klíčů za bránou firewall měla přístup k trezoru klíčů?

Pokud chcete umožnit přístup k trezoru klíčů, musí mít klientská aplikace trezoru klíčů přístup k několika koncovým bodům pro různé funkce:

  • Ověřování prostřednictvím MICROSOFT Entra ID.
  • Správa služby Azure Key Vault. Jedná se o vytváření, čtení, aktualizaci, odstraňování a nastavování zásad přístupu prostřednictvím Azure Resource Manageru.
  • Přístup k objektům (klíčům a tajným kódům) uloženým ve službě Key Vault a správa těchto objektů probíhají přes koncový bod specifický pro službu Key Vault (například https://yourvaultname.vault.azure.net).

V závislosti na vaší konfiguraci a prostředí existuje několik variant.

Porty

Veškerý provoz směřující do trezoru klíčů pro všechny tři funkce (ověřování, správa a přístup k rovině dat) prochází přes protokol HTTPS: port 443. Nicméně u seznamu CRL může občas docházet k provozu přes protokol HTTP (na portu 80). Klienti, kteří podporují OCSP, by se neměli spojit se seznamem CRL, ale občas se můžou spojit s koncovými body seznamu CRL, které jsou zde uvedeny.

Ověřování

Klientské aplikace služby Key Vault budou muset pro ověřování přistupovat ke koncovým bodům Microsoft Entra. Použitý koncový bod závisí na konfiguraci tenanta Microsoft Entra, typu instančního objektu (objektu zabezpečení uživatele nebo instančního objektu) a typu účtu – například účet Microsoft nebo pracovní nebo školní účet.

Typ objektu zabezpečení Koncový bod:port
Uživatel používající účet Microsoft
(například user@hotmail.com)
Globální:
login.microsoftonline.com:443

Microsoft Azure provozovaný společností 21Vianet:
login.chinacloudapi.cn:443

Azure US Government:
login.microsoftonline.us:443

Azure Germany:
login.microsoftonline.de:443

a
login.live.com:443
Uživatel nebo instanční objekt používající pracovní nebo školní účet s ID Microsoft Entra (například user@contoso.com) Globální:
login.microsoftonline.com:443

Microsoft Azure provozovaný společností 21Vianet:
login.chinacloudapi.cn:443

Azure US Government:
login.microsoftonline.us:443

Azure Germany:
login.microsoftonline.de:443
Uživatel nebo instanční objekt používající pracovní nebo školní účet a službu Active Directory Federation Services (AD FS) nebo jiný federovaný koncový bod (například user@contoso.com) Všechny koncové body pro pracovní nebo školní účet a AD FS nebo jiné federované koncové body

Existují i další možné komplexní scénáře. Další informace najdete v tématu Microsoft Entra Authentication Flow, integrace aplikací s MICROSOFT Entra ID a ověřovací protokoly služby Active Directory.

Správa služby Key Vault

Pro správu služby Key Vault (CRUD a nastavení zásad přístupu) je nutné, aby klientská aplikace trezoru klíčů měla přístup ke koncovému bodu Azure Resource Manageru.

Typ operace Koncový bod:port
Operace roviny řízení služby Key Vault
prostřednictvím Azure Resource Manageru
Globální:
management.azure.com:443

Microsoft Azure provozovaný společností 21Vianet:
management.chinacloudapi.cn:443

Azure US Government:
management.usgovcloudapi.net:443

Azure Germany:
management.microsoftazure.de:443
Microsoft Graph API Globální:
graph.microsoft.com:443

Microsoft Azure provozovaný společností 21Vianet:
graph.chinacloudapi.cn:443

Azure US Government:
graph.microsoft.com:443

Azure Germany:
graph.cloudapi.de:443

Operace služby Key Vault

Pro všechny operace správy objektů trezoru klíčů (klíče a tajné kódy) a kryptografické operace je nutné, aby klient trezoru klíčů měl přístup ke koncovému bodu trezoru klíčů. V závislosti na umístění trezoru klíčů se bude lišit přípona DNS koncového bodu. Koncový bod trezoru klíčů je ve formátu název_trezoru.přípona_dns_konkrétní_oblasti, jak je popsáno v tabulce níže.

Typ operace Koncový bod:port
Operace, včetně kryptografických operací na klíčích; vytváření, čtení, aktualizace nebo odstraňování klíčů a tajných kódů; nastavování nebo získávání značek a jiných atributů objektů trezoru klíčů (klíče a tajné kódy) Globální:
<název_trezoru>.vault.azure.net:443

Microsoft Azure provozovaný společností 21Vianet:
<název_trezoru>.vault.azure.cn:443

Azure US Government:
<název_trezoru>.vault.usgovcloudapi.net:443

Azure Germany:
<název_trezoru>.vault.microsoftazure.de:443

Rozsahy IP adres

Služba Key Vault používá jiné prostředky Azure, například infrastrukturu modelu PaaS. Proto není možné poskytnout konkrétní rozsah IP adres, který budou mít koncové body služby Key Vault v určitém čase. Pokud vaše brána firewall podporuje jenom rozsahy IP adres, projděte si dokumenty rozsahů IP adres datacentra Microsoft Azure, které jsou k dispozici na adrese:

Ověřování a identita (Microsoft Entra ID) je globální služba a může převzít služby při selhání do jiných oblastí nebo přesunout provoz bez předchozího upozornění. V tomto scénáři by měly být všechny rozsahy IP adres uvedené v seznamu IP adres pro ověřování a identitu přidány do brány firewall.

Další kroky

Pokud máte dotazy týkající se služby Key Vault, navštivte stránku s dotazy týkající se služby Microsoft Q&A pro Azure Key Vault.