Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы получить доступ к хранилищу ключей из-за брандмауэра, клиентское приложение должно иметь доступ к нескольким конечным точкам для следующих функциональных возможностей:
- Проверка подлинности: конечные точки Microsoft Entra для проверки подлинности субъекта безопасности. Дополнительные сведения см. в статье "Проверка подлинности в Azure Key Vault".
- Управление (плоскость управления) — конечные точки Azure Resource Manager для создания, чтения, обновления, удаления и настройки хранилищ ключей.
-
Доступ к плоскости данных: конечные точки, относящиеся к Key Vault (например,
https://yourvaultname.vault.azure.net) для доступа к ключам, секретам и сертификатам и управлению ими.
В зависимости от конфигурации и среды существуют некоторые варианты.
Замечание
Полные рекомендации по безопасности сети, включая параметры настройки брандмауэра от большинства до наименее строгих, см. в статье "Защита Azure Key Vault: безопасность сети и настройка сетевой безопасности для Azure Key Vault".
Порты
Весь трафик к хранилищу ключей для всех трех функций (доступ к проверке подлинности, управлению и плоскости данных) передается по протоколу HTTPS: порт 443. Однако иногда существует трафик HTTP (порт 80) для проверок списка отзыва сертификатов (CRL). Клиенты, поддерживающие протокол OCSP, не должны обращаться к CRL, но иногда могут достигать конечных точек CRL, перечисленных в сведениях о ЦС Azure.
Конечные точки проверки подлинности
Клиентские приложения хранилища ключей должны получить доступ к конечным точкам Microsoft Entra для проверки подлинности. Используемая конечная точка зависит от конфигурации клиента Microsoft Entra, типа субъекта (участника-пользователя или субъекта-службы) и типа учетной записи (например, учетной записи Майкрософт или рабочей или учебной учетной записи). Дополнительные сведения о проверке подлинности см. в разделе "Проверка подлинности" в Azure Key Vault.
| Основной тип | Конечная точка:порт |
|---|---|
| Пользователь с помощью учетной записи Майкрософт (например, [email protected]) |
login.live.com:443 Международная контактная информация: login.microsoftonline.com:443 Microsoft Azure, управляемый 21Vianet: login.chinacloudapi.cn:443 Azure для правительства США: login.microsoftonline.us:443 |
| Пользователь или служебный принципал, использующий рабочую или учебную учетную запись с идентификатором Microsoft Entra (например, [email protected]) |
Международная контактная информация: login.microsoftonline.com:443 Microsoft Azure, управляемый 21Vianet: login.chinacloudapi.cn:443 Azure для правительства США: login.microsoftonline.us:443 |
| Пользователь или служебный принципал, использующие учетную запись рабочего или учебного учреждения, а также службы федерации Active Directory (AD FS) или другую федеративную конечную точку (например, [email protected]) | Все конечные точки для рабочей или учебной учетной записи, а также AD FS или других федеративных конечных точек |
Дополнительные сведения о сценариях проверки подлинности и потоках см. в потоке проверки подлинности Microsoft Entra, интеграции приложений с идентификатором Microsoft Entra ипротоколах проверки подлинности Active Directory.
Конечные точки контрольной плоскости
Для операций управления Key Vault (CRUD и настройки политики доступа) клиентское приложение хранилища ключей должно получить доступ к конечным точкам Azure Resource Manager. Дополнительные сведения о модели доступа к плоскости управления и плоскости данных см. в статье "Предоставление доступа к ключам Key Vault, сертификатам и секретам" с помощью управления доступом на основе ролей Azure.
| Тип операции | Конечная точка:порт |
|---|---|
| Операции уровня управления для Key Vault с помощью Azure Resource Manager |
Международная контактная информация: management.azure.com:443 Microsoft Azure, управляемый 21Vianet: management.chinacloudapi.cn:443 Azure для правительства США: management.usgovcloudapi.net:443 |
| API Microsoft Graph |
Международная контактная информация: graph.microsoft.com:443 Microsoft Azure, управляемый 21Vianet: graph.chinacloudapi.cn:443 Azure для правительства США: graph.microsoft.com:443 |
Конечные точки плоскости данных
Для всех операций управления и шифрования объектов хранилища ключей (ключей, секретов и сертификатов) клиент хранилища ключей должен получить доступ к конечной точке хранилища ключей. Суффикс DNS конечной точки зависит от расположения хранилища ключей. Конечная точка хранилища ключей имеет формат имя-хранилища.регион-специфичный-днс-суффикс, как описано в следующей таблице.
| Тип операции | Конечная точка:порт |
|---|---|
| Операции, включая криптографические операции с ключами; создание, чтение, обновление и удаление ключей и секретов; установка или получение тегов и других атрибутов в объектах хранилища ключей (ключи или секреты) |
Международная контактная информация: <vault-name.vault.azure.net:443> Microsoft Azure, управляемый 21Vianet: <vault-name.vault.azure.cn:443> Azure для правительства США: <vault-name.vault.usgovcloudapi.net:443> |
Диапазоны IP-адресов
Служба Key Vault использует другие ресурсы Azure, такие как инфраструктура PaaS, поэтому невозможно предоставить определенный диапазон IP-адресов, которые конечные точки службы Key Vault имеют в определенное время. Если брандмауэр поддерживает только диапазоны IP-адресов, ознакомьтесь с документами microsoft Azure Datacenter IP Ranges:
Проверка подлинности и идентификация (Microsoft Entra ID) — это глобальная служба, которая может автоматически переключаться в случае отказа в другие регионы или перемещать трафик без уведомления. В этом сценарии добавьте все диапазоны IP-адресов, перечисленные в параметрах проверки подлинности и удостоверений, в брандмауэр.
Дальнейшие шаги
- Настройка сетевой безопасности для Azure Key Vault
- Обеспечьте безопасность Azure Key Vault
- Служебные конечные точки виртуальной сети для Azure Key Vault
- Интегрируйте Key Vault с Azure Private Link
- Проверка подлинности в Azure Key Vault
- Если у вас есть вопросы о Key Vault, перейдите на страницу вопросов Microsoft Q&A для Azure Key Vault.