Zugreifen auf Azure Key Vault hinter einer Firewall

Welche Ports, Hosts oder IP-Adressen sollte ich öffnen, damit meine Key Vault-Clientanwendung hinter einer Firewall auf den Schlüsseltresor zugreifen kann?

Für den Zugriff auf einen Schlüsseltresor muss Ihre Schlüsseltresor-Clientanwendung auf mehrere Endpunkte für unterschiedliche Funktionalitäten zugreifen:

  • Authentifizierung über Microsoft Entra ID.
  • Verwaltung von Azure Key Vault Dies umfasst das Erstellen, Lesen, Aktualisieren, Löschen und Festlegen von Zugriffsrichtlinien per Azure Resource Manager.
  • Der Zugriff auf Objekte (Schlüssel und Geheimnisse), die in Key Vault gespeichert sind, sowie deren Verwaltung werden über den Key Vault-spezifischen Endpunkt abgewickelt (Beispiel: https://yourvaultname.vault.azure.net).

Je nach Konfiguration und Umgebung gibt es verschiedene Varianten.

Ports

Der gesamte Datenverkehr an einen Schlüsseltresor verläuft für alle drei Funktionen (Authentifizierung, Verwaltung und Datenebenenzugriff) über „HTTPS: Port 443“. Gelegentlich fällt aber auch HTTP-Datenverkehr (Port 80) für CRL an. Clients, die OCSP unterstützen, sollten CRL nicht erreichen, können aber gelegentlich die hier aufgeführten CRL-Endpunkte erreichen.

Authentifizierung

Schlüsseltresor-Clientanwendungen müssen zur Authentifizierung auf Microsoft Entra-Endpunkte zugreifen. Der verwendete Endpunkt richtet sich nach der Microsoft Entra-Mandantenkonfiguration, dem Typ von Prinzipal (Benutzerprinzipal oder Dienstprinzipal) und dem Kontotyp, z.B. Microsoft-Konto oder Geschäfts-, Schul- oder Unikonto.

Prinzipaltyp Endpunkt:Port
Benutzer mit Microsoft-Konto
(Beispiel: user@hotmail.com)
Global:
login.microsoftonline.com:443

Microsoft Azure, betrieben von 21Vianet:
login.chinacloudapi.cn:443

Azure US Government:
login.microsoftonline.us:443

Azure Deutschland:
login.microsoftonline.de:443

und
login.live.com:443
Benutzer- oder Dienstprinzipal mit einem Geschäfts-, Schul- oder Unikonto bei Microsoft Entra ID (z. B. user@contoso.com) Global:
login.microsoftonline.com:443

Microsoft Azure, betrieben von 21Vianet:
login.chinacloudapi.cn:443

Azure US Government:
login.microsoftonline.us:443

Azure Deutschland:
login.microsoftonline.de:443
Benutzer- oder Dienstprinzipal mit einem Geschäfts-, Schul- oder Unikonto plus Active Directory-Verbunddienste (AD FS) oder einem anderen Verbundendpunkt (z.B. user@contoso.com) Alle Endpunkte für ein Geschäfts-, Schul- oder Unikonto plus AD FS oder anderen Verbundendpunkten

Es sind noch andere komplexe Szenarien möglich. Weitere Informationen finden Sie unter Authentifizierungs-Flow für Microsoft Entra, Integrieren von Anwendungen in Microsoft Entra ID und Active Directory-Authentifizierungsprotokolle.

Schlüsseltresorverwaltung

Für die Schlüsseltresorverwaltung (CRUD und Festlegen der Zugriffsrichtlinie) benötigt die Schlüsseltresor-Clientanwendung Zugriff auf einen Azure Resource Manager-Endpunkt.

Typ der Operation Endpunkt:Port
Vorgänge auf der Steuerungsebene des Schlüsseltresors
mit Azure Resource Manager
Global:
management.azure.com:443

Microsoft Azure, betrieben von 21Vianet:
management.chinacloudapi.cn:443

Azure US Government:
management.usgovcloudapi.net:443

Azure Deutschland:
management.microsoftazure.de:443
Microsoft Graph-API Global:
graph.microsoft.com:443

Microsoft Azure, betrieben von 21Vianet:
graph.chinacloudapi.cn:443

Azure US Government:
graph.microsoft.com:443

Azure Deutschland:
graph.cloudapi.de:443

Schlüsseltresorvorgänge

Für alle Schlüsseltresorvorgänge in Bezug auf die Objektverwaltung (Schlüssel und Geheimnisse) und Kryptografie benötigt der Schlüsseltresorclient Zugriff auf den Schlüsseltresor-Endpunkt. Das DNS-Suffix des Endpunkts unterscheidet sich je nach Standort des Schlüsseltresors. Der Schlüsseltresor-Endpunkt hat das folgende Format: Tresorname.regionsspezifisches DNS-Suffix. Dies ist in der Tabelle unten beschrieben.

Typ der Operation Endpunkt:Port
Vorgänge, z.B. kryptografische Vorgänge für Schlüssel, Erstellen, Lesen, Aktualisieren und Löschen von Schlüsseln und Geheimnissen, Festlegen oder Abrufen von Tags und anderen Attributen für Sicherheitstresorobjekte (Schlüssel oder Geheimnisse) Global:
<Tresorname>.vault.azure.net:443

Microsoft Azure, betrieben von 21Vianet:
<Tresorname>.vault.azure.cn:443

Azure US Government:
<Tresorname>.vault.usgovcloudapi.net:443

Azure Deutschland:
<Tresorname>.vault.microsoftazure.de:443

IP-Adressbereiche

Der Key Vault-Dienst nutzt andere Azure-Ressourcen, z.B. die PaaS-Infrastruktur. Daher ist es nicht möglich, einen bestimmten Bereich mit IP-Adressen anzugeben, über die Endpunkte des Key Vault-Diensts zu bestimmten Zeiten verfügen. Wenn Ihre Firewall nur IP-Adressbereiche unterstützt, helfen Ihnen die Informationen in den folgenden Dokumenten zu den IP-Bereichen für Microsoft Azure Datacenter weiter:

Authentifizierung und Identität (Microsoft Entra ID) ist ein globaler Dienst und kann ohne vorherige Ankündigung ein Failover auf andere Regionen durchführen oder Datenverkehr verlagern. In diesem Szenario müssen alle IP-Adressbereiche für Authentifizierung und Identität der Firewall hinzugefügt werden.

Nächste Schritte

Besuchen Sie die Microsoft-Seite mit häufig gestellten Fragen zu Azure Key Vault, wenn Sie Fragen zu Key Vault haben.