Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APPLIES TO:所有API Management层
自 2026 年 3 月 15 日起,Azure API Management API Management网关停用受信任的服务连接,以连接到受支持的Azure服务 - Azure Storage、Key Vault、Service Bus、事件中心和容器注册 表。 如果API Management网关依赖于此功能在 2026 年 3 月 15 日之后与这些服务通信,则通信将失败。 使用替代网络选项安全连接这些服务。
在 2025 年 12 月 1 日或之后创建的API Management网关不再支持受信任的服务连接。 如果需要在这些服务中启用受信任的服务连接,请与Azure support联系,直到停用日期。
我的服务是否受此更改影响?
受信任的服务连接停用会影响API Management网关依赖于此功能和托管标识来与Azure服务通信的情况,例如Storage、Key Vault、Key Vault托管 HSM、Service Bus、事件中心或容器注册 表。 当这些服务配置为后端或通过类似或send-request这样的send-one-way-request策略进行访问时,这适用。
首先,检查Azure Advisor建议:
- 在Azure portal中,转到 Advisor。
- 选择“运营卓越”类别的建议>。
- 在 API Management 中搜索“
Disable 受信任服务连接”。
如果未看到建议,则API Management网关不受更改的影响。
如果看到建议,API Management网关之前已将流量发送到列出的Azure服务。 因此,它被视为受中断性变更的影响,你需要采取措施:
- 确定API Management网关是否依赖于与Azure服务的受信任服务连接。
- 如果有,更新网络配置以消除对可信服务连接的依赖。 如果不行,就进入下一步。
- 在API Management网关中禁用受信任的服务连接。
注释
Azure Advisor建议显示API Management实例在过去 24 小时内已将出站请求发送到的Azure后端服务,而不考虑使用的身份验证方法。 使用此标识API Management实例所依赖的后端并验证其配置。
如果未报告任何流量,请持续监视几天,如果结果一致,请禁用该功能。
不受中断性变更影响的场景
涉及使用受信任服务连接的控制平面作的所有方案仍受支持,不受中断性变更的影响,包括访问:
- Azure Key Vault命名值、client 证书和 custom 主机名证书
- Azure Storage用于 backup 和 restore
如果API Management服务对用于命名值和客户端证书的key vault建立了网络线,则无需删除key vault上的受信任连接配置。
对于备份和还原和自定义主机名证书,需要确保可公开访问目标key vault或storage帐户,或者需要保留其受信任的连接设置,以允许来自API Management资源的流量,即使API Management服务已建立网络视线。
工作区中的 API 不受此更改的影响,因为它们 不支持托管标识。
步骤 1:我的API Management网关是否依赖于受信任的服务连接?
API Management网关不应再依赖于与Azure服务的受信任服务连接。 相反,它应该建立一个网络视线。
小窍门
可以通过 API 管理实例上的 Azure 门户中的“诊断并解决问题 > 的可用性和性能”获取详细概述,了解出站请求、所需的 Entra ID 令牌以及是否需要进一步作。
若要验证API 管理网关是否依赖于与Azure服务的受信任连接,请检查API Management网关连接到的所有Azure Storage、Key Vault、Service Bus、事件中心和容器注册表资源的网络配置:
对于Storage帐户
- 在网络安全+网络栏目中。
- 在 Public network access 选项卡中选择 Manage。
- 如果 Allow 受信任的Microsoft服务access此资源,则API Management可能依赖于受信任的服务连接
- Public network access 设置为 Disable 或
公共网络access 设置为Enable ,公共网络access范围 设置为</c3>。
- 如果API Management在
resource 实例下配置 ,API Management可能依赖于受信任的服务连接,如果Public 网络access 设置为Enable 和Public 网络access范围 设置为从所选网络。
仅适用于Service Bus(仅限高级)和Key Vault
- 进入设置中的网络。
- 如果使用
Allow 受信任的Microsoft服务绕过此防火墙 <,则API Management可能依赖于受信任的服务连接 >特定虚拟网络和 IP 地址中的公共access或Disable public access 选项。
针对容器注册(仅限高级定价计划)
- 进入设置中的网络。
- 如果
Allow 受信任的Microsoft服务access此容器注册表,API Management可能依赖于受信任的服务连接 在Firewall 异常 如果Public network access 设置为Selected networks 或Disabled 。
步骤2:消除对可信服务连接的依赖
如果验证API Management网关依赖于与Azure资源的受信任连接,则需要通过建立从API Management到列出的服务的通信的网络视线来消除此依赖关系。
你可以将目标资源的网络配置为以下选项之一:
启用所有网络的公共连接。
设置网络安全规则,以允许基于 IP 地址或virtual network连接API Management流量。
使用Private Link连接保护来自API Management的流量。
使用网络安全外围来保护Azure后端,并允许来自API Management的流量(例如,例如,Azure Storage)。 了解更多关于网络安全边界的信息:
传输到 Azure 如何使用 Azure API Management
重要
对于非Azure API Management方案,客户可以在目标Azure服务上使用受信任的服务。 但是,Azure API Management将不再支持它,因此网关需要替代方式进行通信并具有网络视线。
例如,可以为Azure Storage资源启用受信任的服务连接,并使用网络安全外围从API Management网关access它。
步骤 3:在 API Management 网关中禁用受信任的服务连接
确保API Management网关未access使用受信任服务连接的其他Azure服务后,必须在网关中显式禁用受信任的连接,以确认服务不再依赖于受信任的连接。
因此,请To do将自定义属性
{
"type": "Microsoft.ApiManagement/service",
"apiVersion": "2025-03-01-preview",
"name": "string",
"identity": {
"type": "SystemAssigned"
},
"location": "string",
"properties": {
"customProperties": {
// Existing custom properties defined on the service
"Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess": "True"
}
},
"sku": {
"capacity": "1",
"name": "Developer"
}
}
注释
现有自定义属性(如密码)必须添加到 PATCH 调用中,否则将从服务中删除它们。
Azure Advisor建议应在禁用API Management网关上的受信任连接后的一两天内消失。
此更改的截止时间是什么?
2026 年 3 月 15 日之后,从API Management网关到受支持的Azure服务(Azure Storage、Key Vault、Service Bus、事件中心和容器注册表)的受信任连接将停用。 如果API Management网关依赖于此功能来与这些服务建立通信,则通信将在该日期后开始失败。
帮助和支持
如果你有问题,请从社区专家那里获得Microsoft问答A。 如果你有支持计划并且需要技术帮助,请创建 support 请求。
- 在“问题类型”下,选择“技术”。
- 在“订阅”下,选择您的订阅。
- 在 Service 下,选择 My services,然后选择 API Management Service。
- 在 Resource 下,选择要为其创建支持请求的Azure资源。
- 在 摘要中,输入问题描述,例如“可信服务连接”。
相关内容
查看所有即将推出的中断性变更和功能停用。