Toegang tot Azure Key Vault achter een firewall
Welke poorten, hosts en IP-adressen moet ik openen om mijn sleutelkluis-clienttoepassing achter een firewall toegang te geven tot de sleutelkluis?
Als u toegang wilt krijgen tot een key vault, moet de clienttoepassing voor de key vault toegang hebben tot meerdere eindpunten voor verschillende functies:
- Verificatie via Microsoft Entra-id.
- Beheer van Azure Key Vault. Dit omvat het maken, lezen, bijwerken, verwijderen en instellen van toegangsbeleid via Azure Resource Manager.
- Toegang tot en beheer van objecten (sleutels en geheimen) die zijn opgeslagen in de Key Vault zelf die via het Key Vault-specifieke eindpunt lopen (bijvoorbeeld
https://yourvaultname.vault.azure.net).
Er zijn enkele verschillen, afhankelijk van uw configuratie en omgeving.
Poorten
Al het verkeer naar de key vault voor de drie functies (verificatie, beheer en toegang tot gegevenslaag) gaat via HTTPS: poort 443. Voor CRL gaat het verkeer soms echter via HTTP (poort 80). Clients die OCSP ondersteunen, mogen geen CRL bereiken, maar kunnen soms CRL-eindpunten bereiken die hier worden vermeld.
Verificatie
Key Vault-clienttoepassingen moeten toegang hebben tot Microsoft Entra-eindpunten voor verificatie. Het gebruikte eindpunt is afhankelijk van de configuratie van de Microsoft Entra-tenant, het type principal (gebruikers-principal of service-principal) en het type account, bijvoorbeeld een Microsoft-account of een werk- of schoolaccount.
| Type principal | Eindpunt:poort |
|---|---|
| Gebruiker gebruikt Microsoft-account (bijvoorbeeld, user@hotmail.com) |
Wereldwijd: login.microsoftonline.com:443 Microsoft Azure beheerd door 21Vianet: login.chinacloudapi.cn:443 Azure van de Amerikaanse overheid: login.microsoftonline.us:443 Azure Duitsland: login.microsoftonline.de:443 en login.live.com:443 |
| Gebruiker of service-principal met een werk- of schoolaccount met Microsoft Entra-id (bijvoorbeeld user@contoso.com) | Wereldwijd: login.microsoftonline.com:443 Microsoft Azure beheerd door 21Vianet: login.chinacloudapi.cn:443 Azure van de Amerikaanse overheid: login.microsoftonline.us:443 Azure Duitsland: login.microsoftonline.de:443 |
| Gebruiker of service-principal gebruikt een werk- of schoolaccount, plus Active Directory Federation Services (AD FS) of andere federatief eindpunt (bijvoorbeeld user@contoso.com) | Alle eindpunten voor een werk- of schoolaccount, plus AD FS- of andere federatieve eindpunten |
Er zijn andere, mogelijk complexe scenario's. Raadpleeg Microsoft Entra-verificatiestroom, toepassingen integreren met Microsoft Entra-id en Active Directory-verificatieprotocollen voor aanvullende informatie.
Key Vault-beheer
Voor Key Vault-beheer (CRUD en toegangsbeleid instellen), moet de clienttoepassing voor de key vault toegang hebben tot het Azure Resource Manager-eindpunt.
| Type bewerking | Eindpunt:poort |
|---|---|
| Bewerkingen voor de controlelaag van Key Vault via Azure Resource Manager |
Wereldwijd: management.azure.com:443 Microsoft Azure beheerd door 21Vianet: management.chinacloudapi.cn:443 Azure van de Amerikaanse overheid: management.usgovcloudapi.net:443 Azure Duitsland: management.microsoftazure.de:443 |
| Microsoft Graph API | Wereldwijd: graph.microsoft.com:443 Microsoft Azure beheerd door 21Vianet: graph.chinacloudapi.cn:443 Azure van de Amerikaanse overheid: graph.microsoft.com:443 Azure Duitsland: graph.cloudapi.de:443 |
Key Vault-bewerkingen
Voor alle beheer- en cryptografiebewerkingen van het key vault-object (sleutels en geheimen) moet de key vault-client toegang hebben tot het eindpunt van de key vault. Het DNS-achtervoegsel van het eindpunt verschilt afhankelijk van de locatie van de key vault. Het eindpunt van de key vault heeft de indeling kluisnaam.regiospecifiek-dns-achtervoegsel, zoals beschreven in de onderstaande tabel.
| Type bewerking | Eindpunt:poort |
|---|---|
| Bewerkingen waaronder cryptografiebewerkingen voor sleutels, het maken, lezen, bijwerken en verwijderen van sleutels en geheimen, instellen of ophalen van tags en andere kenmerken voor key vault-objecten (sleutels of geheimen) | Wereldwijd: <kluisnaam>.vault.azure.net:443 Microsoft Azure beheerd door 21Vianet: <kluisnaam>.vault.azure.cn:443 Azure van de Amerikaanse overheid: <kluisnaam>.vault.usgovcloudapi.net:443 Azure Duitsland: <kluisnaam>.vault.microsoftazure.de:443 |
IP-adresbereiken
De Key Vault-service maakt gebruik van andere Azure-bronnen zoals de PaaS-infrastructuur. Daarom is het niet mogelijk om een specifiek bereik van IP-adressen op te geven die key vault-eindpunten op een bepaald moment hebben. Als uw firewall alleen IP-adresbereiken ondersteunt, raadpleeg dan de documenten over Microsoft Azure Datacenter IP Ranges die beschikbaar zijn op:
Verificatie en identiteit (Microsoft Entra ID) is een globale service en kan zonder kennisgeving een failover naar andere regio's uitvoeren of verkeer verplaatsen. In dit scenario moeten alle IP-adresbereiken bij IP-adressen voor Authentication and Identity worden toegevoegd aan de firewall.
Volgende stappen
Als u vragen hebt over Key Vault, ga dan naar de Microsoft-pagina met vragen en antwoorden voor Azure Key Vault.