Accès à Azure Key Vault derrière un pare-feu

Quels ports, hôtes ou adresses IP dois-je ouvrir pour permettre à mon application cliente de coffre de clés derrière un pare-feu d’accéder au coffre de clés ?

Pour accéder à un coffre de clés, votre application cliente de coffre de clés doit accéder à plusieurs points de terminaison pour différentes fonctionnalités :

  • Authentification avec Microsoft Entra ID.
  • Gestion d’un coffre Azure Key Vault. Cela inclut la création, la lecture, la mise à jour, la suppression et la définition de stratégies d’accès par le biais d’Azure Resource Manager.
  • L’accès et la gestion des objets (clés et secrets) stockés dans le coffre de clés lui-même passent par le point de terminaison spécifique à Key Vault (par exemple, https://yourvaultname.vault.azure.net).

Il existe des variantes selon votre configuration et l’environnement.

Ports

Tout le trafic vers le coffre de clés pour chacune des 3 fonctions (authentification, gestion et accès au plan de données) passe par le protocole HTTPS : port 443. Cependant, il faut compter occasionnellement sur un trafic HTTP (port 80) pour les CRL. Les clients qui prennent en charge le protocole OCSP ne doivent pas accéder à la liste de révocation de certificats, mais peuvent occasionnellement accéder aux points de terminaison de liste de révocation de certificats listés ici.

Authentification

Les applications clientes de coffre de clés doivent accéder aux points de terminaison Microsoft Entra pour l’authentification. Le point de terminaison utilisé dépend de la configuration du locataire Microsoft Entra, du type de principal (principal d’utilisateur ou principal de service) et du type de compte (par exemple, compte Microsoft, ou compte professionnel ou scolaire).

Type de principal Point de terminaison:port
Utilisateur utilisant un compte Microsoft
(Par exemple, user@hotmail.com)
Mondial :
login.microsoftonline.com:443

Microsoft Azure utilisé par 21Vianet :
login.chinacloudapi.cn:443

Azure US Government :
login.microsoftonline.us:443

Azure Germany :
login.microsoftonline.de:443

et
login.live.com:443
Utilisateur ou principal de service utilisant un compte professionnel ou scolaire avec Microsoft Entra ID (par exemple, user@contoso.com) Mondial :
login.microsoftonline.com:443

Microsoft Azure utilisé par 21Vianet :
login.chinacloudapi.cn:443

Azure US Government :
login.microsoftonline.us:443

Azure Germany :
login.microsoftonline.de:443
Utilisateur ou principal du service utilisant un compte professionnel ou scolaire, plus Active Directory Federation Services (AD FS) ou un autre point de terminaison fédéré (par exemple, user@contoso.com) Tous les points de terminaison correspondant à un compte professionnel ou scolaire, plus AD FS ou d’autres points de terminaison fédérés

D’autres scénarios complexes sont possibles. Consultez Flux d’authentification Microsoft Entra, Intégration d’applications à Microsoft Entra ID et Protocoles d’authentification Active Directory pour plus d’informations.

Gestion de Key Vault

Pour la gestion d’un coffre de clés Key Vault (CRUD et définition de la stratégie d’accès), l’application cliente de coffre de clés doit accéder au point de terminaison Azure Resource Manager.

Type d’opération Point de terminaison:port
Opérations du plan de contrôle Key Vault
via Azure Resource Manager
Mondial :
management.azure.com:443

Microsoft Azure utilisé par 21Vianet :
management.chinacloudapi.cn:443

Azure US Government :
management.usgovcloudapi.net:443

Azure Germany :
management.microsoftazure.de:443
API Microsoft Graph Mondial :
graph.microsoft.com:443

Microsoft Azure utilisé par 21Vianet :
graph.chinacloudapi.cn:443

Azure US Government :
graph.microsoft.com:443

Azure Germany :
graph.cloudapi.de:443

Opérations Key Vault

Pour toutes les opérations de gestion et de chiffrement d’objets (clés et secrets), le client de coffre de clés doit accéder au point de terminaison du coffre de clés. Le suffixe DNS du point de terminaison varie en fonction de l’emplacement de votre coffre de clés. Le point de terminaison du coffre de clés est au format nom du coffre.suffixe-dns-spécifique-à-la-région, comme indiqué dans le tableau ci-dessous.

Type d’opération Point de terminaison:port
Opérations telles que le chiffrement sur les clés, création/lecture/mise à jour/suppression de clés et de secrets, définition/obtention de mots-clés et autres attributs sur objets de coffre de clés (clés ou secrets) Mondial :
<nom du coffre>.vault.azure.net:443

Microsoft Azure utilisé par 21Vianet :
<nom du coffre>.vault.azure.cn:443

Azure US Government :
<nom du coffre>.vault.usgovcloudapi.net:443

Azure Germany :
<nom du coffre>.vault.microsoftazure.de:443

Plages d’adresse IP

Le service Key Vault utilise d’autres ressources Azure telles que l’infrastructure PaaS, de sorte qu’il n’est pas possible de fournir une plage spécifique des adresses IP qu’auront les points de terminaison Key Vault à un moment donné. Si votre pare-feu prend en charge uniquement des plages d’adresses IP, consultez les documents Plages IP des centres de données Microsoft Azure disponibles aux emplacements suivants :

L’authentification et l’identité (Microsoft Entra ID) est un service global et peut basculer vers d’autres régions ou déplacer le trafic sans avertissement. Dans ce scénario, toutes les plages d’adresses IP répertoriées dans Adresse IP d’authentification et d’identité doivent être ajoutées au pare-feu.

Étapes suivantes

Pour toute question concernant Key Vault, rendez-vous sur la Page de questions Microsoft Q&A consacrée à Azure Key Vault.