通过

可信服务连接退役(2026年3月)

适用于:所有 API 管理层级

从 2026 年 3 月 15 日起,Azure API 管理将 API 管理网关停用受信任的服务连接,以连接到受支持的 Azure 服务 - Azure 存储、Key Vault、服务总线、事件中心和容器注册表。 如果 API 管理网关依赖于此功能在 2026 年 3 月 15 日之后与这些服务通信,则通信将失败。 使用替代网络选项安全连接这些服务。

在 2025 年 12 月 1 日或之后创建的 API 管理服务中的网关不再支持受信任的服务连接。 如果你需要在这些服务中启用可信服务连接,请联系Azure支持,直到退休日期。

我的服务是否受此更改影响?

首先,查看是否有 Azure Advisor 推荐:

  1. 在Azure门户中,访问 Advisor
  2. 选择“运营卓越”类别的建议>
  3. 搜索“在 API 管理中禁用可信服务连接”。

如果未看到建议,API 管理网关不会受到更改的影响。

如果看到建议,API 管理网关会受到中断性变更的影响,需要采取措施:

  1. 确定 API 管理网关是否依赖于与 Azure 服务的受信任服务连接。
  2. 如果有,更新网络配置以消除对可信服务连接的依赖。 如果不行,就进入下一步。
  3. 在 API 管理网关中禁用受信任的服务连接。

步骤 1:API 管理网关是否依赖于受信任的服务连接?

API 管理网关不应再依赖于与 Azure 服务的受信任服务连接。 相反,它应该建立一个网络视线。

若要验证 API 管理网关是否依赖于与 Azure 服务的受信任连接,请检查 API 管理网关连接到的所有 Azure 存储、Key Vault、服务总线、事件中心和容器注册表资源的网络配置:

对于存储账户

  1. 在网络安全+网络栏目中。
  2. 公共网络访问选项卡中选择管理
  3. 如果选择 允许可信的Microsoft服务访问该资源 ,API管理可能依赖于可信服务连接性,且满足以下条件:
    • 公共网络访问 设置为 禁用,或
    • 公共网络访问设置为启用,公共网络访问范围设置为从选定网络启用
  4. 如果API管理在 资源实例下配置,且公共 网络访问 设置为 启用 ,且公共 网络访问范围 设置为 从选定网络中启用,API管理可能依赖于可信服务连接。

门户中 Azure Storage 可信连接设置的截图。

服务总线(仅限高级版)和密钥库

  1. 进入设置中的网络。
  2. 如果你使用允许特定虚拟网络和IP地址的公共访问禁用公共访问选项,选择允许可信的Microsoft服务绕过该防火墙,API管理可能依赖于可信服务连接性。

针对容器注册(仅限高级定价计划)

  1. 进入设置中的网络。
  2. API 管理可能依赖可信服务连接,前提是公共网络访问设置为“选择网络”或“禁用”,则在防火墙例外中勾选“允许可信的 Microsoft 服务访问该容器注册表。

步骤2:消除对可信服务连接的依赖

如果验证 API 管理网关依赖于与 Azure 资源的受信任连接,则需要通过建立网络视线来消除此依赖关系,以便从 API 管理与列出的服务通信。

你可以将目标资源的网络配置为以下选项之一:

  • 启用所有网络的公共连接。

  • 设置网络安全规则,以允许基于 IP 地址或虚拟网络连接的 API 管理流量。

  • 使用专用链接连接保护来自 API 管理的流量。

  • 使用网络安全边界来保护Azure后端,并允许API管理的流量(例如Azure存储)。 了解更多关于网络安全边界的信息:

步骤 3:在 API 管理网关中禁用受信任的服务连接

确保 API 管理网关无法访问使用受信任的服务连接的其他 Azure 服务后,必须在网关中显式禁用受信任的连接,以确认服务不再依赖于受信任的连接。

为此,请将自定义属性 Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess 设置为 "True"API 管理服务。 例如:

{
  "type": "Microsoft.ApiManagement/service",
  "apiVersion": "2025-03-01-preview",
  "name": "string",
  "identity": {
    "type": "SystemAssigned"
  },
  "location": "string",
  "properties": {
    "customProperties": {
      "Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess": "True"
    }
  },
  "sku": {
    "capacity": "1",
    "name": "Developer"
  }
}

Azure 顾问建议应在禁用 API 管理网关上的受信任连接后的一两天内消失。

此更改的截止时间是什么?

2026 年 3 月 15 日之后,API 管理网关与支持的 Azure 服务(Azure 存储、Key Vault、服务总线、事件中心和容器注册表)之间的受信任连接已停用。 如果 API 管理网关依赖于此功能来与这些服务建立通信,则通信将在该日期后开始失败。

帮助和支持

如果有疑问,请从 Microsoft Q&A 中的社区专家那里获取解答。 如有支持计划并需要技术帮助,请创建支持请求

  1. 在“问题类型”下,选择“技术”。
  2. 在“订阅”下,选择您的订阅。
  3. 在“服务”下,选择“我的服务”,然后选择“API 管理服务”。
  4. 在“资源”下,选择你要为其创建支持请求的 Azure 资源。
  5. 摘要中,输入问题描述,例如“可信服务连接”。

相关内容

查看所有即将推出的中断性变更和功能停用

  • Last updated on