若要从防火墙后面访问密钥保管库,客户端应用程序必须能够访问多个终结点,才能实现以下功能:
- 身份验证:用于对安全主体进行身份验证的 Microsoft Entra 终结点。 有关详细信息,请参阅 Azure Key Vault 中的身份验证。
- 管理(控制平面):用于创建、读取、更新、删除和配置密钥保管库的 Azure 资源管理器终结点。
-
数据平面访问:Key Vault 专用终结点(例如,
https://yourvaultname.vault.azure.cn),用于访问和管理密钥、机密和证书。
根据配置和环境,有一些变化。
注意
有关全面的网络安全指南,包括从大多数到最不严格的防火墙配置选项,请参阅 保护 Azure Key Vault:网络安全 和 为 Azure Key Vault 配置网络安全。
港口
所有到密钥保管库的流量(用于身份验证、管理和数据平面访问的流量)都会通过 HTTPS:端口 443。 但是,对于 CRL,偶尔会有 HTTP(端口 80)流量。 支持 OCSP 的客户端不应访问 CRL,但有时可能会访问 此处列出的 CRL 终结点。
身份验证终结点
Key Vault 客户端应用程序需要访问Microsoft Entra 终结点进行身份验证。 使用的终结点取决于 Microsoft Entra 租户配置、主体类型(用户主体或服务主体),以及帐户类型,例如 Azure 帐户或工作或学校帐户。
| 主要类型 | 终结点:端口 |
|---|---|
| 使用 Azure 帐户的用户 (例如:user@hotmail.com) |
由世纪互联运营的 Azure: login.chinacloudapi.cn:443 和 login.live.com:443 |
| 使用 Microsoft Entra ID 的工作或学校帐户的用户或服务主体(如 user@contoso.com) |
由世纪互联运营的 Azure: login.chinacloudapi.cn:443 |
有关身份验证方案和流的详细信息,请参阅Microsoft Entra 身份验证流、集成应用程序与 Microsoft Entra ID 和 Active Directory 身份验证协议。
控制平面终结点
对于 Key Vault 管理操作(CRUD 和设置访问策略),Key Vault 客户端应用程序必须访问 Azure 资源管理器终结点。 有关控制平面与数据平面访问模型的详细信息,请参阅 使用 Azure 基于角色的访问控制提供对 Key Vault 密钥、证书和机密的访问权限。
| 操作类型 | 终结点:端口 |
|---|---|
| 通过 Azure Resource Manager 进行的 通过 Azure 资源管理器 |
由世纪互联运营的 Azure: management.chinacloudapi.cn:443 |
| Microsoft图形 API |
由世纪互联运营的 Azure: graph.chinacloudapi.cn:443 |
数据平面终结点
对于所有 Key Vault 对象(密钥、机密和证书)的管理和加密操作,Key Vault 客户端必须访问密钥保管库终结点。 终结点 DNS 后缀因密钥保管库的位置而异。 密钥保管库终结点的格式为 保管库名称.特定区域的 DNS 后缀,如下表所示。
| 操作类型 | 终结点:端口 |
|---|---|
| 包括对密钥执行加密作的作;创建、读取、更新和删除密钥和机密;在密钥保管库对象(密钥或机密)上设置或获取标记和其他属性 |
由世纪互联运营的 Azure: <保管库名称>.vault.azure.cn:443 |
IP 地址范围
Key Vault 服务使用其他 Azure 资源,例如 PaaS 基础结构。 因此,无法提供 Key Vault 服务终结点在任何特定时间将具有的特定 IP 地址范围。 如果防火墙仅支持 IP 地址范围,请参阅以下位置提供的 Azure 数据中心 IP 范围文档:
身份验证和标识 (Microsoft Entra ID) 是一项全球性服务,可能会故障转移到其他区域或移动流量,恕不另行通知。 在此方案中,身份验证和标识 IP 地址中列出的所有 IP 范围都应添加到防火墙。
后续步骤
如果对 Key Vault 有疑问,请访问 Azure Key Vault 的Microsoft问答页面。