适用于:所有 API 管理层级
从 2026 年 3 月 15 日起,Azure API 管理将 API 管理网关停用受信任的服务连接,以连接到受支持的 Azure 服务 - Azure 存储、Key Vault、服务总线、事件中心和容器注册表。 如果 API 管理网关依赖于此功能在 2026 年 3 月 15 日之后与这些服务通信,则通信将失败。 使用替代网络选项安全连接这些服务。
在 2025 年 12 月 1 日或之后创建的 API 管理服务中的网关不再支持受信任的服务连接。 如果你需要在这些服务中启用可信服务连接,请联系Azure支持,直到退休日期。
我的服务是否受此更改影响?
受信任的服务连接停用会影响 API 管理网关依赖于此功能和托管标识来与 Azure 服务(例如存储、Key Vault、Key Vault 托管 HSM、服务总线、事件中心或容器注册表)通信的情况。 当这些服务配置为后端或通过类似或send-request这样的send-one-way-request策略进行访问时,这适用。
首先,查看是否有 Azure Advisor 推荐:
- 在 Azure 门户中,转到 顾问。
- 选择“运营卓越”类别的建议>。
- 搜索“在 API 管理中禁用可信服务连接”。
如果未看到建议,API 管理网关不会受到更改的影响。
如果看到建议,API 管理网关以前已将流量发送到列出的 Azure 服务。 因此,它被视为受中断性变更的影响,你需要采取措施:
- 确定 API 管理网关是否依赖于与 Azure 服务的受信任服务连接。
- 如果有,更新网络配置以消除对可信服务连接的依赖。 如果不行,就进入下一步。
- 在 API 管理网关中禁用受信任的服务连接。
注释
Azure 顾问建议显示 API 管理实例在过去 24 小时内已将出站请求发送到的 Azure 后端服务,而不考虑所使用的身份验证方法。 使用此标识 API 管理实例所依赖的后端并验证其配置。
如果未报告任何流量,请持续监视几天,如果结果一致,请禁用该功能。
不受中断性变更影响的场景
涉及使用受信任服务连接的控制平面作的所有方案仍受支持,不受中断性变更的影响,包括访问:
- 用于命名值、客户端证书和自定义主机名证书的 Azure Key Vault
- 用于备份和还原的 Azure 存储
如果 API 管理服务对用于命名值和客户端证书的密钥保管库具有已建立的网络线,则无需删除密钥保管库上的受信任连接配置。
对于备份和还原和自定义主机名证书,需要确保目标密钥保管库或存储帐户是可公开访问的,或者需要保留其受信任的连接设置,以允许来自 API 管理资源的流量,即使 API 管理服务具有与其建立的网络视线。
工作区中的 API 不受此更改的影响,因为它们 不支持托管标识。
步骤 1:API 管理网关是否依赖于受信任的服务连接?
API 管理网关不应再依赖于与 Azure 服务的受信任服务连接。 相反,它应该建立一个网络视线。
若要验证 API 管理网关是否依赖于与 Azure 服务的受信任连接,请检查 API 管理网关连接到的所有 Azure 存储、Key Vault、服务总线、事件中心和容器注册表资源的网络配置:
对于存储账户
- 在网络安全+网络栏目中。
- 在公共网络访问选项卡中选择管理。
- 如果选择 允许可信的Microsoft服务访问该资源 ,API管理可能依赖于可信服务连接性,且满足以下条件:
- 公共网络访问 设置为 禁用,或
- 公共网络访问设置为启用,公共网络访问范围设置为从选定网络启用。
- 如果API管理在 资源实例下配置,且公共 网络访问 设置为 启用 ,且公共 网络访问范围 设置为 从选定网络中启用,API管理可能依赖于可信服务连接。
服务总线(仅限高级版)和密钥库
- 进入设置中的网络。
- 如果你使用允许特定虚拟网络和IP地址的公共访问或禁用公共访问选项,选择允许可信的Microsoft服务绕过该防火墙,API管理可能依赖于可信服务连接性。
针对容器注册(仅限高级定价计划)
- 进入设置中的网络。
- API 管理可能依赖可信服务连接,前提是公共网络访问设置为“选择网络”或“禁用”,则在防火墙例外中勾选“允许可信的 Microsoft 服务访问该容器注册表。
步骤2:消除对可信服务连接的依赖
如果验证 API 管理网关依赖于与 Azure 资源的受信任连接,则需要通过建立网络视线来消除此依赖关系,以便从 API 管理与列出的服务通信。
你可以将目标资源的网络配置为以下选项之一:
启用所有网络的公共连接。
设置网络安全规则,以允许基于 IP 地址或虚拟网络连接的 API 管理流量。
使用专用链接连接保护来自 API 管理的流量。
使用网络安全边界来保护Azure后端,并允许API管理的流量(例如Azure存储)。 了解更多关于网络安全边界的信息:
重要
对于非 Azure API 管理方案,客户可以在目标 Azure 服务上使用受信任的服务。 但是,Azure API 管理将不再支持它,因此网关需要替代方式进行通信并具有网络视线。
例如,可以为 Azure 存储资源启用受信任的服务连接,并使用网络安全外围从 API 管理的网关访问它。
步骤 3:在 API 管理网关中禁用受信任的服务连接
确保 API 管理网关无法访问使用受信任的服务连接的其他 Azure 服务后,必须在网关中显式禁用受信任的连接,以确认服务不再依赖于受信任的连接。
为此,请将自定义属性 Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess 设置为 "True"API 管理服务。 例如:
{
"type": "Microsoft.ApiManagement/service",
"apiVersion": "2025-03-01-preview",
"name": "string",
"identity": {
"type": "SystemAssigned"
},
"location": "string",
"properties": {
"customProperties": {
// Existing custom properties defined on the service
"Microsoft.WindowsAzure.ApiManagement.Gateway.ManagedIdentity.DisableOverPrivilegedAccess": "True"
}
},
"sku": {
"capacity": "1",
"name": "Developer"
}
}
注释
现有自定义属性(如密码)必须添加到 PATCH 调用中,否则将从服务中删除它们。
Azure 顾问建议应在禁用 API 管理网关上的受信任连接后的一两天内消失。
此更改的截止时间是什么?
2026 年 3 月 15 日之后,API 管理网关与支持的 Azure 服务(Azure 存储、Key Vault、服务总线、事件中心和容器注册表)之间的受信任连接已停用。 如果 API 管理网关依赖于此功能来与这些服务建立通信,则通信将在该日期后开始失败。
帮助和支持
如果有疑问,请从 Microsoft Q&A 中的社区专家那里获取解答。 如有支持计划并需要技术帮助,请创建支持请求。
- 在“问题类型”下,选择“技术”。
- 在“订阅”下,选择您的订阅。
- 在“服务”下,选择“我的服务”,然后选择“API 管理服务”。
- 在“资源”下,选择你要为其创建支持请求的 Azure 资源。
- 在 摘要中,输入问题描述,例如“可信服务连接”。
相关内容
查看所有即将推出的中断性变更和功能停用。