Accedere a Insieme di credenziali delle chiavi di Azure protetto da firewall
Quali porte, host o indirizzi IP è necessario aprire per consentire all'applicazione client dell'insieme di credenziali delle chiavi protetta da firewall di accedere a Key Vault?
Per accedere a un insieme di credenziali delle chiavi, l'applicazione client dell'insieme di credenziali delle chiavi deve poter accedere a più endpoint per varie funzionalità:
- Autenticazione tramite Microsoft Entra ID.
- Gestione di Insieme di credenziali delle chiavi di Azure, inclusa la creazione, la lettura, l'aggiornamento, l'eliminazione e l'impostazione dei criteri di accesso tramite Azure Resource Manager.
- Accesso e gestione di oggetti (chiavi e segreti) archiviati in Key Vault, eseguiti tramite l'endpoint specifico di Key Vault, ad esempio
https://yourvaultname.vault.azure.net
.
Esistono alcune varianti a seconda della configurazione e dell'ambiente.
Porti
Tutto il traffico verso un insieme di credenziali delle chiavi per tutte e tre le funzioni (autenticazione, gestione e accesso al piano dati) passa per la porta HTTPS 443. Verrà tuttavia generato occasionalmente traffico HTTP (porta 80) per CRL. I client che supportano OCSP non devono raggiungere CRL, ma possono in alcuni casi raggiungere gli endpoint CLR elencati qui.
Autenticazione
Le applicazioni client di Key Vault dovranno accedere agli endpoint di Microsoft Entra per l'autenticazione. L'endpoint usato dipende dalla configurazione del tenant di Microsoft Entra, dal tipo di entità (entità utente o entità servizio) e dal tipo di account, ad esempio account Microsoft o account aziendale o dell'istituto di istruzione.
Tipo di entità | Endpoint:porta |
---|---|
Utente che usa un account Microsoft (ad esempio, user@hotmail.com) |
Globale: login.microsoftonline.com:443 Microsoft Azure gestito da 21Vianet: login.chinacloudapi.cn:443 Azure US Gov: login.microsoftonline.us:443 Azure per la Germania: login.microsoftonline.de:443 e login.live.com:443 |
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione con Microsoft Entra ID (ad esempio, user@contoso.com) | Globale: login.microsoftonline.com:443 Microsoft Azure gestito da 21Vianet: login.chinacloudapi.cn:443 Azure US Gov: login.microsoftonline.us:443 Azure per la Germania: login.microsoftonline.de:443 |
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione oltre ad Active Directory Federation Services (AD FS) o un altro endpoint federato (ad esempio, user@contoso.com) | Tutti gli endpoint per un account aziendale o dell'istituto di istruzione oltre ad AD FS o altri endpoint federati |
Esistono altri possibili scenari complessi. Per altre informazioni, vedere Flusso di autenticazione di Microsoft Entra, Integrazione di applicazioni con Microsoft Entra ID e Protocolli di autenticazione di Active Directory.
Gestione dell'insieme di credenziali delle chiavi
Per la gestione dell'insieme di credenziali delle chiavi (CRUD e impostazione dei criteri di accesso), l'applicazione client dell'insieme di credenziali delle chiavi deve accedere all'endpoint di Azure Resource Manager.
Tipo di operazione | Endpoint:porta |
---|---|
Operazioni del piano di controllo dell'insieme di credenziali delle chiavi tramite Azure Resource Manager |
Globale: management.azure.com:443 Microsoft Azure gestito da 21Vianet: management.chinacloudapi.cn:443 Azure US Gov: management.usgovcloudapi.net:443 Azure per la Germania: management.microsoftazure.de:443 |
API di Microsoft Graph | Globale: graph.microsoft.com:443 Microsoft Azure gestito da 21Vianet: graph.chinacloudapi.cn:443 Azure US Gov: graph.microsoft.com:443 Azure per la Germania: graph.cloudapi.de:443 |
Operazioni dell'insieme di credenziali delle chiavi
Per tutte le operazioni di gestione e crittografia degli oggetti (chiavi e segreti) dell'insieme di credenziali delle chiavi, il client dell'insieme di credenziali delle chiavi deve accedere all'endpoint dell'insieme stesso. Il suffisso DNS dell'endpoint varia a seconda della posizione dell'insieme di credenziali delle chiavi. Il formato dell'endpoint dell'insieme di credenziali delle chiavi è nome-insiemecredenziali.suffisso-dns-area-geografica, come descritto nella tabella seguente.
Tipo di operazione | Endpoint:porta |
---|---|
Operazioni come crittografia sulle chiavi; creazione, lettura, aggiornamento ed eliminazione di chiavi e segreti; impostazione o definizione di tag e altri attributi per gli oggetti dell'insieme di credenziali delle chiavi (chiavi o segreti) | Globale: <nome-insiemecredenziali>.vault.azure.net:443 Microsoft Azure gestito da 21Vianet: <nome-insiemecredenziali>.vault.azure.cn:443 Azure US Gov: <nome-insiemecredenziali>.vault.usgovcloudapi.net:443 Azure per la Germania: <nome-insiemecredenziali>.vault.microsoftazure.de:443 |
Intervalli di indirizzi IP
Il servizio Insieme di credenziali delle chiavi usa altre risorse di Azure come l'infrastruttura PaaS. Non è quindi possibile fornire uno specifico intervallo di indirizzi IP disponibile per gli endpoint del servizio Insieme di credenziali delle chiavi in un determinato momento. Se il firewall supporta solo gli intervalli di indirizzi IP, vedere il documento sugli indirizzi IP dei data center di Microsoft Azure disponibile all'indirizzo:
Autenticazione e identità (Microsoft Entra ID) è un servizio globale e può eseguire il failover in altre aree o spostare il traffico senza preavviso. In questo scenario, tutti gli intervalli IP elencati in Indirizzi IP di autenticazione e identità devono essere aggiunti al firewall.
Passaggi successivi
In caso di domande su Key Vault, vedere la Pagina delle domande di Domande e risposte Microsoft per Azure Key Vault.