Zugreifen auf Azure Key Vault hinter einer Firewall
Welche Ports, Hosts oder IP-Adressen sollte ich öffnen, damit meine Key Vault-Clientanwendung hinter einer Firewall auf den Schlüsseltresor zugreifen kann?
Für den Zugriff auf einen Schlüsseltresor muss Ihre Schlüsseltresor-Clientanwendung auf mehrere Endpunkte für unterschiedliche Funktionalitäten zugreifen:
- Authentifizierung über Microsoft Entra ID.
- Verwaltung von Azure Key Vault Dies umfasst das Erstellen, Lesen, Aktualisieren, Löschen und Festlegen von Zugriffsrichtlinien per Azure Resource Manager.
- Der Zugriff auf Objekte (Schlüssel und Geheimnisse), die in Key Vault gespeichert sind, sowie deren Verwaltung werden über den Key Vault-spezifischen Endpunkt abgewickelt (Beispiel:
https://yourvaultname.vault.azure.net).
Je nach Konfiguration und Umgebung gibt es verschiedene Varianten.
Ports
Der gesamte Datenverkehr an einen Schlüsseltresor verläuft für alle drei Funktionen (Authentifizierung, Verwaltung und Datenebenenzugriff) über „HTTPS: Port 443“. Gelegentlich fällt aber auch HTTP-Datenverkehr (Port 80) für CRL an. Clients, die OCSP unterstützen, sollten CRL nicht erreichen, können aber gelegentlich die hier aufgeführten CRL-Endpunkte erreichen.
Authentifizierung
Schlüsseltresor-Clientanwendungen müssen zur Authentifizierung auf Microsoft Entra-Endpunkte zugreifen. Der verwendete Endpunkt richtet sich nach der Microsoft Entra-Mandantenkonfiguration, dem Typ von Prinzipal (Benutzerprinzipal oder Dienstprinzipal) und dem Kontotyp, z.B. Microsoft-Konto oder Geschäfts-, Schul- oder Unikonto.
| Prinzipaltyp | Endpunkt:Port |
|---|---|
| Benutzer mit Microsoft-Konto (Beispiel: user@hotmail.com) |
Global: login.microsoftonline.com:443 Microsoft Azure, betrieben von 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Deutschland: login.microsoftonline.de:443 und login.live.com:443 |
| Benutzer- oder Dienstprinzipal mit einem Geschäfts-, Schul- oder Unikonto bei Microsoft Entra ID (z. B. user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure, betrieben von 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Deutschland: login.microsoftonline.de:443 |
| Benutzer- oder Dienstprinzipal mit einem Geschäfts-, Schul- oder Unikonto plus Active Directory-Verbunddienste (AD FS) oder einem anderen Verbundendpunkt (z.B. user@contoso.com) | Alle Endpunkte für ein Geschäfts-, Schul- oder Unikonto plus AD FS oder anderen Verbundendpunkten |
Es sind noch andere komplexe Szenarien möglich. Weitere Informationen finden Sie unter Authentifizierungs-Flow für Microsoft Entra, Integrieren von Anwendungen in Microsoft Entra ID und Active Directory-Authentifizierungsprotokolle.
Schlüsseltresorverwaltung
Für die Schlüsseltresorverwaltung (CRUD und Festlegen der Zugriffsrichtlinie) benötigt die Schlüsseltresor-Clientanwendung Zugriff auf einen Azure Resource Manager-Endpunkt.
| Typ der Operation | Endpunkt:Port |
|---|---|
| Vorgänge auf der Steuerungsebene des Schlüsseltresors mit Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure, betrieben von 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 Azure Deutschland: management.microsoftazure.de:443 |
| Microsoft Graph-API | Global: graph.microsoft.com:443 Microsoft Azure, betrieben von 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 Azure Deutschland: graph.cloudapi.de:443 |
Schlüsseltresorvorgänge
Für alle Schlüsseltresorvorgänge in Bezug auf die Objektverwaltung (Schlüssel und Geheimnisse) und Kryptografie benötigt der Schlüsseltresorclient Zugriff auf den Schlüsseltresor-Endpunkt. Das DNS-Suffix des Endpunkts unterscheidet sich je nach Standort des Schlüsseltresors. Der Schlüsseltresor-Endpunkt hat das folgende Format: Tresorname.regionsspezifisches DNS-Suffix. Dies ist in der Tabelle unten beschrieben.
| Typ der Operation | Endpunkt:Port |
|---|---|
| Vorgänge, z.B. kryptografische Vorgänge für Schlüssel, Erstellen, Lesen, Aktualisieren und Löschen von Schlüsseln und Geheimnissen, Festlegen oder Abrufen von Tags und anderen Attributen für Sicherheitstresorobjekte (Schlüssel oder Geheimnisse) | Global: <Tresorname>.vault.azure.net:443 Microsoft Azure, betrieben von 21Vianet: <Tresorname>.vault.azure.cn:443 Azure US Government: <Tresorname>.vault.usgovcloudapi.net:443 Azure Deutschland: <Tresorname>.vault.microsoftazure.de:443 |
IP-Adressbereiche
Der Key Vault-Dienst nutzt andere Azure-Ressourcen, z.B. die PaaS-Infrastruktur. Daher ist es nicht möglich, einen bestimmten Bereich mit IP-Adressen anzugeben, über die Endpunkte des Key Vault-Diensts zu bestimmten Zeiten verfügen. Wenn Ihre Firewall nur IP-Adressbereiche unterstützt, helfen Ihnen die Informationen in den folgenden Dokumenten zu den IP-Bereichen für Microsoft Azure Datacenter weiter:
Authentifizierung und Identität (Microsoft Entra ID) ist ein globaler Dienst und kann ohne vorherige Ankündigung ein Failover auf andere Regionen durchführen oder Datenverkehr verlagern. In diesem Szenario müssen alle IP-Adressbereiche für Authentifizierung und Identität der Firewall hinzugefügt werden.
Nächste Schritte
Besuchen Sie die Microsoft-Seite mit häufig gestellten Fragen zu Azure Key Vault, wenn Sie Fragen zu Key Vault haben.