Condividi tramite


Accedere a Insieme di credenziali delle chiavi di Azure protetto da firewall

Quali porte, host o indirizzi IP è necessario aprire per consentire all'applicazione client dell'insieme di credenziali delle chiavi protetta da firewall di accedere a Key Vault?

Per accedere a un insieme di credenziali delle chiavi, l'applicazione client dell'insieme di credenziali delle chiavi deve poter accedere a più endpoint per varie funzionalità:

  • Autenticazione tramite Microsoft Entra ID.
  • Gestione di Insieme di credenziali delle chiavi di Azure, inclusa la creazione, la lettura, l'aggiornamento, l'eliminazione e l'impostazione dei criteri di accesso tramite Azure Resource Manager.
  • Accesso e gestione di oggetti (chiavi e segreti) archiviati in Key Vault, eseguiti tramite l'endpoint specifico di Key Vault, ad esempio https://yourvaultname.vault.azure.net.

Esistono alcune varianti a seconda della configurazione e dell'ambiente.

Porti

Tutto il traffico verso un insieme di credenziali delle chiavi per tutte e tre le funzioni (autenticazione, gestione e accesso al piano dati) passa per la porta HTTPS 443. Verrà tuttavia generato occasionalmente traffico HTTP (porta 80) per CRL. I client che supportano OCSP non devono raggiungere CRL, ma possono in alcuni casi raggiungere gli endpoint CLR elencati qui.

Autenticazione

Le applicazioni client di Key Vault dovranno accedere agli endpoint di Microsoft Entra per l'autenticazione. L'endpoint usato dipende dalla configurazione del tenant di Microsoft Entra, dal tipo di entità (entità utente o entità servizio) e dal tipo di account, ad esempio account Microsoft o account aziendale o dell'istituto di istruzione.

Tipo di entità Endpoint:porta
Utente che usa un account Microsoft
(ad esempio, user@hotmail.com)
Globale:
login.microsoftonline.com:443

Microsoft Azure gestito da 21Vianet:
login.chinacloudapi.cn:443

Azure US Gov:
login.microsoftonline.us:443

Azure per la Germania:
login.microsoftonline.de:443

e
login.live.com:443
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione con Microsoft Entra ID (ad esempio, user@contoso.com) Globale:
login.microsoftonline.com:443

Microsoft Azure gestito da 21Vianet:
login.chinacloudapi.cn:443

Azure US Gov:
login.microsoftonline.us:443

Azure per la Germania:
login.microsoftonline.de:443
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione oltre ad Active Directory Federation Services (AD FS) o un altro endpoint federato (ad esempio, user@contoso.com) Tutti gli endpoint per un account aziendale o dell'istituto di istruzione oltre ad AD FS o altri endpoint federati

Esistono altri possibili scenari complessi. Per altre informazioni, vedere Flusso di autenticazione di Microsoft Entra, Integrazione di applicazioni con Microsoft Entra ID e Protocolli di autenticazione di Active Directory.

Gestione dell'insieme di credenziali delle chiavi

Per la gestione dell'insieme di credenziali delle chiavi (CRUD e impostazione dei criteri di accesso), l'applicazione client dell'insieme di credenziali delle chiavi deve accedere all'endpoint di Azure Resource Manager.

Tipo di operazione Endpoint:porta
Operazioni del piano di controllo dell'insieme di credenziali delle chiavi
tramite Azure Resource Manager
Globale:
management.azure.com:443

Microsoft Azure gestito da 21Vianet:
management.chinacloudapi.cn:443

Azure US Gov:
management.usgovcloudapi.net:443

Azure per la Germania:
management.microsoftazure.de:443
API di Microsoft Graph Globale:
graph.microsoft.com:443

Microsoft Azure gestito da 21Vianet:
graph.chinacloudapi.cn:443

Azure US Gov:
graph.microsoft.com:443

Azure per la Germania:
graph.cloudapi.de:443

Operazioni dell'insieme di credenziali delle chiavi

Per tutte le operazioni di gestione e crittografia degli oggetti (chiavi e segreti) dell'insieme di credenziali delle chiavi, il client dell'insieme di credenziali delle chiavi deve accedere all'endpoint dell'insieme stesso. Il suffisso DNS dell'endpoint varia a seconda della posizione dell'insieme di credenziali delle chiavi. Il formato dell'endpoint dell'insieme di credenziali delle chiavi è nome-insiemecredenziali.suffisso-dns-area-geografica, come descritto nella tabella seguente.

Tipo di operazione Endpoint:porta
Operazioni come crittografia sulle chiavi; creazione, lettura, aggiornamento ed eliminazione di chiavi e segreti; impostazione o definizione di tag e altri attributi per gli oggetti dell'insieme di credenziali delle chiavi (chiavi o segreti) Globale:
<nome-insiemecredenziali>.vault.azure.net:443

Microsoft Azure gestito da 21Vianet:
<nome-insiemecredenziali>.vault.azure.cn:443

Azure US Gov:
<nome-insiemecredenziali>.vault.usgovcloudapi.net:443

Azure per la Germania:
<nome-insiemecredenziali>.vault.microsoftazure.de:443

Intervalli di indirizzi IP

Il servizio Insieme di credenziali delle chiavi usa altre risorse di Azure come l'infrastruttura PaaS. Non è quindi possibile fornire uno specifico intervallo di indirizzi IP disponibile per gli endpoint del servizio Insieme di credenziali delle chiavi in un determinato momento. Se il firewall supporta solo gli intervalli di indirizzi IP, vedere il documento sugli indirizzi IP dei data center di Microsoft Azure disponibile all'indirizzo:

Autenticazione e identità (Microsoft Entra ID) è un servizio globale e può eseguire il failover in altre aree o spostare il traffico senza preavviso. In questo scenario, tutti gli intervalli IP elencati in Indirizzi IP di autenticazione e identità devono essere aggiunti al firewall.

Passaggi successivi

In caso di domande su Key Vault, vedere la Pagina delle domande di Domande e risposte Microsoft per Azure Key Vault.