Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
För att få åtkomst till ett nyckelvalv bakom en brandvägg måste klientprogrammet kunna komma åt flera slutpunkter för följande funktioner:
- Authentication: Microsoft Entra ändpunkter för autentisering av säkerhetsentiteten. Mer information finns i Authentication i Azure Key Vault.
- Management (kontrollplanen): Slutpunkter för Azure Resource Manager som används för att skapa, läsa, uppdatera, ta bort och konfigurera nyckelvalv.
-
Dataplansåtkomst: Key Vault specifika slutpunkter (till exempel
https://yourvaultname.vault.azure.net) för åtkomst till och hantering av nycklar, hemligheter och certifikat.
Beroende på konfiguration och miljö finns det vissa variationer.
Anmärkning
Omfattande vägledning för nätverkssäkerhet, inklusive konfigurationsalternativ för brandväggar från de flesta till minst restriktiva, finns i Sekera din Azure Key Vault: Nätverkssäkerhet och Konfigurera nätverkssäkerhet för Azure Key Vault.
Hamnar
All trafik till ett nyckelvalv för alla tre funktionerna (autentisering, hantering och dataplansåtkomst) går via HTTPS: port 443. Det finns dock ibland HTTP-trafik (port 80) för CRL-kontroller (certifikatåterkallelse lista). Klienter som stöder Online Certificate Status Protocol (OCSP) bör inte nå CRL, men kan ibland nå CRL-slutpunkter som anges i Azure CA-information.
Autentiseringsslutpunkter
Key Vault-klientprogram måste komma åt Microsoft Entra-slutpunkten för autentisering. Vilken slutpunkt som används beror på den Microsoft Entra klientkonfigurationen, typen av huvudnamn (användarens huvudnamn eller tjänstens huvudnamn) och typen av konto (till exempel en Microsoft-konto eller ett arbets- eller skolkonto). Mer information om autentisering finns i Authentication i Azure Key Vault.
| Huvudtyp | Slutpunkt:port |
|---|---|
| Användare som använder Microsoft-konto (till exempel user@hotmail.com) |
login.live.com:443 Globalt: login.microsoftonline.com:443 Microsoft Azure drivs av 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Användare eller tjänstentitet som använder ett arbets- eller skolkonto med Microsoft Entra ID (till exempel user@contoso.com) |
Globalt: login.microsoftonline.com:443 Microsoft Azure drivs av 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Användarens eller tjänstens huvudnamn med ett arbets- eller skolkonto, plus Active Directory Federation Services (ADFS) (AD FS) eller annan federerad slutpunkt (till exempel user@contoso.com) | Alla slutpunkter för ett arbets- eller skolkonto, plus AD FS eller andra federerade slutpunkter |
Mer information om autentiseringsscenarier och flöden finns i Microsoft Entra autentiseringsflöde, Integrating Applications with Microsoft Entra ID, and služba Active Directory Authentication Protocols.
Styrplansändpunkter
För Key Vault hanteringsåtgärder (CRUD och inställning av åtkomstprincip) måste key vault-klientprogrammet komma åt Azure Resource Manager slutpunkter. Mer information om åtkomstmodellen för kontrollplanet jämfört med dataplanet finns i Provide access to Key Vault keys, certificates, and secrets with Azure role-based access control.
| Typ av åtgärd | Slutpunkt:port |
|---|---|
| Key Vault kontrollplansoperationer via Azure Resource Manager |
Globalt: management.azure.com:443 Microsoft Azure drivs av 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| Microsoft Graph API |
Globalt: graph.microsoft.com:443 Microsoft Azure drivs av 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Data Plane-slutpunkter
För hantering av alla nyckelvalvsobjekt (nycklar, hemligheter och certifikat) och kryptografiska operationer måste klienten för nyckelvalvet komma åt nyckelvalvets slutpunkt. DNS-suffixet varierar beroende på var ditt nyckelvalv finns. Nyckelvalvsslutpunkten har formatet vault-name.regionspecifikt-dns-suffix enligt beskrivningen i följande tabell.
| Typ av åtgärd | Slutpunkt:port |
|---|---|
| Åtgärder inklusive kryptografiska åtgärder på nycklar; skapa, läsa, uppdatera och ta bort nycklar och hemligheter; ange eller hämta taggar och andra attribut för key vault-objekt (nycklar eller hemligheter) |
Globalt: <vault-name.vault.azure.net:443> Microsoft Azure drivs av 21Vianet: <vault-name.vault.azure.cn:443> Azure US Government: <vault-name.vault.usgovcloudapi.net:443> |
IP-adressintervall
Tjänsten Key Vault använder andra Azure resurser som PaaS-infrastruktur, så det går inte att ange ett specifikt intervall med IP-adresser som Key Vault tjänstslutpunkter har vid en viss tidpunkt. Om din brandvägg endast stöder IP-adressintervall, se Microsoft Azure Datacenter IP Ranges-dokumentationen.
Autentisering och identitet (Microsoft Entra ID) är en global tjänst och kan redundansväxla till andra regioner eller flytta trafik utan föregående meddelande. I det här scenariot lägger du till alla IP-intervall som anges i IP-adresser för autentisering och identitet i brandväggen.
Nästa steg
- Konfigurera nätverkssäkerhet för Azure Key Vault
- Säkra din Azure Key Vault
- Virtuella nätverksserviceändpunkter för Azure Key Vault
- Integrera Key Vault med Azure Private Link
- Autentisering i Azure Key Vault
- Om du har frågor om Key Vault kan du besöka
Microsoft Q&A-sidan för frågor om Azure Key Vault .