Compartir a través de

可信服务连接退役(2026年3月)

适用于:所有 API 管理层级

从 2026 年 3 月 15 日起,Azure API 管理将停用受信任的服务连接,以支持的 Azure 服务 - Azure 存储、Key Vault、服务总线、事件中心和容器注册表。 如果您的 API 管理资源在 2026 年 3 月 15 日之后依赖此功能与这些服务通信,通信将失败。 使用替代网络选项安全连接这些服务。

2025年12月1日及以后创建的API管理服务不再支持可信服务连接。 如果你需要在这些服务中启用可信服务连接,请联系Azure支持,直到退休日期。

我的服务是否受此更改影响?

首先,查看是否有 Azure Advisor 推荐:

  1. 在Azure门户中,访问 Advisor
  2. 选择“运营卓越”类别的建议>
  3. 搜索“在 API 管理中禁用可信服务连接”。

如果你没有看到推荐,说明你的 API 管理资源不会受到该更改的影响。

如果你看到推荐,说明你的 API 管理资源受到了该重大变更的影响,你需要采取行动:

  1. 确定您的 API 管理资源是否依赖可信服务与 Azure 服务的连接。
  2. 如果有,更新网络配置以消除对可信服务连接的依赖。 如果不行,就进入下一步。
  3. 在 API 管理中禁用可信服务连接。

步骤1:我的API管理资源是否依赖于可信服务连接?

API 管理不应再依赖可信的服务与 Azure 服务的连接。 相反,它应该建立一个网络视线。

若要验证 API 管理是否依赖于与 Azure 服务的受信任连接,请检查 API 管理连接到的所有 Azure 存储、Key Vault、服务总线、事件中心和容器注册表资源的网络配置:

对于存储账户

  1. 在网络安全+网络栏目中。
  2. 公共网络访问选项卡中选择管理
  3. 如果选择 允许可信的Microsoft服务访问该资源 ,API管理可能依赖于可信服务连接性,且满足以下条件:
    • 公共网络访问 设置为 禁用,或
    • 公共网络访问设置为启用,公共网络访问范围设置为从选定网络启用
  4. 如果API管理在 资源实例下配置,且公共 网络访问 设置为 启用 ,且公共 网络访问范围 设置为 从选定网络中启用,API管理可能依赖于可信服务连接。

门户中 Azure Storage 可信连接设置的截图。

服务总线(仅限高级版)和密钥库

  1. 进入设置中的网络。
  2. 如果你使用允许特定虚拟网络和IP地址的公共访问禁用公共访问选项,选择允许可信的Microsoft服务绕过该防火墙,API管理可能依赖于可信服务连接性。

针对容器注册(仅限高级定价计划)

  1. 进入设置中的网络。
  2. API 管理可能依赖可信服务连接,前提是公共网络访问设置为“选择网络”或“禁用”,则在防火墙例外中勾选“允许可信的 Microsoft 服务访问该容器注册表。

步骤2:消除对可信服务连接的依赖

如果你确认 API 管理依赖于与 Azure 资源的可信连接,你需要通过建立一个网络视距,实现从 API 管理到上述服务的通信,从而消除这种依赖。

你可以将目标资源的网络配置为以下选项之一:

  • 启用所有网络的公共连接。

  • 设置网络安全规则,以允许基于 IP 地址或虚拟网络连接的 API 管理流量。

  • 使用专用链接连接保护来自 API 管理的流量。

  • 使用网络安全边界来保护Azure后端,并允许API管理的流量(例如Azure存储)。 了解更多关于网络安全边界的信息:

步骤3:在API管理中禁用可信服务连接

在确保API管理不会通过可信服务连接访问其他Azure服务后,你必须明确禁用API管理服务中的可信连接,以确认服务不再依赖可信连接。

为此,可以在 Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess上设置一个"True"自定义属性。 例如:

{
  "type": "Microsoft.ApiManagement/service",
  "apiVersion": "2025-03-01-preview",
  "name": "string",
  "identity": {
    "type": "SystemAssigned"
  },
  "location": "string",
  "properties": {
    "customProperties": {
      "Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess": "True"
    }
  },
  "sku": {
    "capacity": "1",
    "name": "Developer"
  }
}

禁用API管理服务中的可信连接后,Azure Advisor推荐应该会在一两天内消失。

此更改的截止时间是什么?

2026 年 3 月 15 日之后,从 API 管理到支持的 Azure 服务(Azure 存储、Key Vault、服务总线、事件中心和容器注册表)的受信任连接将停用。 如果您的 API 管理资源依赖此功能来建立与这些服务的通信,那么该通信将在该日期之后开始出现故障。

帮助和支持

如果有疑问,请从 Microsoft Q&A 中的社区专家那里获取解答。 如有支持计划并需要技术帮助,请创建支持请求

  1. 在“问题类型”下,选择“技术”。
  2. 在“订阅”下,选择您的订阅。
  3. 在“服务”下,选择“我的服务”,然后选择“API 管理服务”。
  4. 在“资源”下,选择你要为其创建支持请求的 Azure 资源。
  5. 摘要中,输入问题描述,例如“可信服务连接”。

相关内容

查看所有即将推出的中断性变更和功能停用

  • Last updated on