Доступ к хранилищу ключей Azure из-за брандмауэра
Какие порты, узлы или IP-адреса необходимо открыть, чтобы мое клиентское приложение хранилища ключей за брандмауэром могло получить доступ к хранилищу ключей?
Для доступа к хранилищу ключей необходимо, чтобы клиентское приложение получило доступ к нескольким конечным точкам, требуемым для различных функций:
- Проверка подлинности с помощью идентификатора Microsoft Entra.
- Управление хранилищем ключей Azure. Это включает в себя создание, чтение, обновление, удаление и настройку политик доступа с помощью Azure Resource Manager.
- Доступ к объектам (ключи и секреты), хранящимся в Key Vault, и управление ими осуществляется через определенную конечную точку Key Vault (например,
https://yourvaultname.vault.azure.net).
Требования отличаются в зависимости от конфигурации и среды.
Порты
Весь трафик в хранилище ключей для всех трех функций (проверки подлинности, управления и доступа к данным) направляется по протоколу HTTPS через порт 443. Однако для списка отзыва сертификатов время от времени трафик будет поступать через HTTP (порт 80). Клиенты, поддерживающие OCSP, не должны обращаться к CRL, но иногда могут достигать конечных точек CRL, перечисленных здесь.
Проверка подлинности
Клиентские приложения хранилища ключей должны получить доступ к конечным точкам Microsoft Entra для проверки подлинности. Используемая конечная точка зависит от конфигурации клиента Microsoft Entra, типа субъекта (участника-пользователя или субъекта-службы), а также типа учетной записи Майкрософт, например учетной записи Майкрософт или рабочей или учебной учетной записи.
| Тип субъекта | Конечная точка и порт |
|---|---|
| Пользователь, использующий учетную запись Майкрософт (например, user@hotmail.com) |
Международная контактная информация: login.microsoftonline.com:443 Microsoft Azure, управляемый 21Vianet: login.chinacloudapi.cn:443 Azure для US Gov : login.microsoftonline.us:443 Azure для Германии: login.microsoftonline.de:443 и . login.live.com:443 |
| Пользователь или субъект-служба с помощью рабочей или учебной учетной записи с идентификатором Microsoft Entra (например, user@contoso.com) | Международная контактная информация: login.microsoftonline.com:443 Microsoft Azure, управляемый 21Vianet: login.chinacloudapi.cn:443 Azure для US Gov : login.microsoftonline.us:443 Azure для Германии: login.microsoftonline.de:443 |
| Пользователь или субъект-служба, использующие рабочую или учебную учетную запись, а также службы федерации Active Directory (AD FS) или другую федеративную конечную точку (например, user@contoso.com) | Все конечные точки для рабочей или учебной учетной записи, а также службы федерации Active Directory или другие федеративные конечные точки |
Есть и другие возможные сложные сценарии. Дополнительные сведения см. в разделе "Поток проверки подлинности Microsoft Entra", "Интеграция приложений с идентификатором Microsoft Entra ID" и "Протоколы проверки подлинности Active Directory".
Управление хранилищем ключей
Для управления хранилищем ключей (операции CRUD и настройка политики доступа) клиентскому приложению хранилища ключей требуется доступ к конечной точке Azure Resource Manager.
| Тип операции | Конечная точка и порт |
|---|---|
| Операции уровня управления хранилищем ключей с использованием Azure Resource Manager |
Международная контактная информация: management.azure.com:443 Microsoft Azure, управляемый 21Vianet: management.chinacloudapi.cn:443 Azure для US Gov : management.usgovcloudapi.net:443 Azure для Германии: management.microsoftazure.de:443 |
| API Microsoft Graph | Международная контактная информация: graph.microsoft.com:443 Microsoft Azure, управляемый 21Vianet: graph.chinacloudapi.cn:443 Azure для US Gov : graph.microsoft.com:443 Azure для Германии: graph.cloudapi.de:443 |
Операции с хранилищем ключей
Для полного управления объектами хранилища ключей (ключами и секретами) и криптографическими операциями клиенту хранилища ключей требуется доступ к конечной точке. DNS-суффикс конечной точки отличается в зависимости от расположения хранилища ключей. Конечная точка хранилища ключей имеет формат — <имя_хранилища>.
| Тип операции | Конечная точка и порт |
|---|---|
| Операции, в том числе криптографические операции для ключей; создание, чтение, обновление и удаление ключей и секретов; задание или получение тегов и других атрибутов для объектов хранилища ключей (ключи и секреты) | Международная контактная информация: <vault-name>.vault.azure.net:443 Microsoft Azure, управляемый 21Vianet: <vault-name>.vault.azure.cn:443 Azure для US Gov : <vault-name>.vault.usgovcloudapi.net:443 Azure для Германии: <vault-name>.vault.microsoftazure.de:443 |
Диапазоны IP-адресов
В службе хранилища ключей используются другие ресурсы Azure, такие как инфраструктура PaaS. Поэтому невозможно предоставить определенный диапазон IP-адресов, которые будут иметь конечные точки службы хранилища ключей в любой определенный момент времени. Если брандмауэр поддерживает только диапазоны IP-адресов, ознакомьтесь с документами по диапазонам IP-адресов центра обработки данных Microsoft Azure:
Проверка подлинности и удостоверение (идентификатор Microsoft Entra) — это глобальная служба, и может выполнять отработку отказа в другие регионы или перемещать трафик без уведомления. В таком случае в брандмауэр нужно добавить все диапазоны IP-адресов, перечисленные в разделе для службы аутентификации и идентификации.
Следующие шаги
Если у вас возникли вопросы о Key Vault, посетите страницу корпорации Майкрософт с вопросами и ответами об Azure Key Vault.