Az Azure Key Vault elérése tűzfal mögött
Milyen portokat, gazdagépeket vagy IP-címeket kell megnyitnom, hogy engedélyezhessem a key vault ügyfélalkalmazásom tűzfal mögötti elérését a Key Vaulthoz?
A kulcstároló eléréséhez a kulcstároló-ügyfélalkalmazásnak a különféle funkciók biztosításához képesnek kell lennie több végpont elérésére:
- Hitelesítés a Microsoft Entra-azonosítón keresztül.
- Az Azure Key Vault kezelése. Ide tartozik a hozzáférési szabályzatok létrehozása, olvasása, frissítése, törlése és beállítása az Azure Resource Manageren keresztül.
- A magában a Key Vaultban tárolt objektumok (kulcsok és titkos kulcsok) elérése és kezelése a Key Vault speciális végpontján (pl.
https://yourvaultname.vault.azure.net) keresztül.
A konfigurációtól és a környezettől függően lehetnek bizonyos eltérések.
Portok
Mindhárom funkció (a hitelesítés, a felügyelet és az adatsíkhoz való hozzáférés) Key Vault felé irányuló összes forgalma a 443-as HTTPS-porton keresztül zajlik. A CRL használata esetén azonban alkalmanként HTTP-forgalom is előfordul (a 80-as porton keresztül). Az OCSP-t támogató ügyfeleknek nem szabad elérniük a CRL-t, de esetenként elérhetik az itt felsorolt CRL-végpontokat.
Hitelesítés
A Key Vault ügyfélalkalmazásainak hozzá kell férnie a Microsoft Entra-végpontokhoz a hitelesítéshez. A használt végpont a Microsoft Entra-bérlő konfigurációjától, a rendszernév típusától (egyszerű felhasználó vagy szolgáltatásnév) és a fiók típusától függ – például Egy Microsoft-fióktól vagy egy munkahelyi vagy iskolai fióktól.
| Résztvevő típusa | Végpont:port |
|---|---|
| A Microsoft-fiókot használó felhasználó (például: user@hotmail.com) |
Globálisan: login.microsoftonline.com:443 A 21Vianet által üzemeltetett Microsoft Azure: login.chinacloudapi.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: login.microsoftonline.us:443 Azure Germany: login.microsoftonline.de:443 és login.live.com:443 |
| Microsoft Entra-azonosítóval rendelkező munkahelyi vagy iskolai fiókot használó felhasználó vagy szolgáltatásnév (például user@contoso.com) | Globálisan: login.microsoftonline.com:443 A 21Vianet által üzemeltetett Microsoft Azure: login.chinacloudapi.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: login.microsoftonline.us:443 Azure Germany: login.microsoftonline.de:443 |
| Munkahelyi vagy iskolai fiókot és az Active Directory Federation Servicest (AD FS) vagy más összevont végpontot (például: user@contoso.com) használó felhasználó vagy szolgáltatás. | A munkahelyi vagy iskolai fiókhoz tartozó valamennyi végpont plusz az AD FS vagy más összevont végpontok |
Más összetett forgatókönyvek is előfordulhatnak. További információkért tekintse meg a Microsoft Entra hitelesítési folyamatát, az alkalmazások Microsoft Entra-azonosítóval való integrálását és az Active Directory hitelesítési protokollokat .
A Key Vault felügyelete
A Key Vault felügyeletéhez (CRUD és hozzáférési házirend beállítása) a Key Vault-ügyfélalkalmazásnak el kell érnie az Azure Resource Manager-végpontot.
| Művelet típusa | Végpont:port |
|---|---|
| A Key Vault vezérlési síkjával végzett műveletek az Azure Resource Manager használatával |
Globálisan: management.azure.com:443 A 21Vianet által üzemeltetett Microsoft Azure: management.chinacloudapi.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: management.usgovcloudapi.net:443 Azure Germany: management.microsoftazure.de:443 |
| Microsoft Graph API | Globálisan: graph.microsoft.com:443 A 21Vianet által üzemeltetett Microsoft Azure: graph.chinacloudapi.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: graph.microsoft.com:443 Azure Germany: graph.cloudapi.de:443 |
Key Vault-műveletek
Az összes Key Vault-objektummal (kulcsok és titkos kulcsok) végzett felügyeleti és titkosítási művelethez a Key Vault-ügyfélnek el kell érnie a Key Vault-végpontot. A végpont DNS-utótagja a Key Vault helyétől függően eltérő. A Key Vault-végpont formátuma az alábbi táblázatban látható módon:
| Művelet típusa | Végpont:port |
|---|---|
| A kulcsokon végzett műveletek, beleértve a titkosítási műveleteket is; kulcsok és titkos létrehozása, olvasása, frissítése és törlése; címkék és egyéb attribútumok beállítása és olvasása kulcstároló-objektumokon (kulcsokon vagy titkokon) | Globálisan: <tároló-neve>.vault.azure.net:443 A 21Vianet által üzemeltetett Microsoft Azure: <tároló-neve>.vault.azure.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: <tároló-neve>.vault.usgovcloudapi.net:443 Azure Germany: <tároló-neve>.vault.microsoftazure.de:443 |
IP-címtartományok
A Key Vault szolgáltatás egyéb Azure-erőforrásokat is használ, amilyen például a PaaS-infrastruktúra. Éppen ezért nem lehetséges megadni IP-címek meghatározott tartományát, amellyel a Key Vault szolgáltatás végpontjai egy adott időpontban rendelkeznek. Ha a tűzfal csak AZ IP-címtartományokat támogatja, tekintse meg a Microsoft Azure Datacenter IP-tartományait a következő címen:
A hitelesítés és identitás (Microsoft Entra ID) egy globális szolgáltatás, amely feladatátvételt végezhet más régiókba, vagy értesítés nélkül áthelyezheti a forgalmat. Ebben a forgatókönyvben minden, a Hitelesítés és identitás – IP-címek szakaszban felsorolt IP-tartományt hozzá kell adni a tűzfalhoz.
Következő lépések
Ha kérdései vannak a Key Vaultról, látogasson el az Azure Key Vault Microsoft Q&A kérdésoldalára.