Acceso a Azure Key Vault desde detrás de un firewallAccess Azure Key Vault behind a firewall

¿Qué puertos, hosts y direcciones IP debo abrir para habilitar mi cliente de almacén de claves detrás de un firewall para acceder al almacén de claves?What ports, hosts, or IP addresses should I open to enable my key vault client application behind a firewall to access key vault?

Para acceder a un almacén de claves, la aplicación cliente de Key Vault tiene que acceder a varios puntos de conexión para diversas funcionalidades:To access a key vault, your key vault client application has to access multiple endpoints for various functionalities:

  • Autenticación a través de Azure Active Directory (Azure AD).Authentication via Azure Active Directory (Azure AD).
  • Administración de Azure Key Vault.Management of Azure Key Vault. Aquí se incluye la creación, lectura, actualización, eliminación y establecimiento de directivas de acceso a través de Azure Resource Manager.This includes creating, reading, updating, deleting, and setting access policies through Azure Resource Manager.
  • Acceso y administración de objetos (claves y secretos) almacenados en la propia instancia de Key Vault a través del punto de conexión específico de Key Vault (por ejemplo, https://yourvaultname.vault.azure.net).Accessing and managing objects (keys and secrets) stored in Key Vault itself, going through the Key Vault-specific endpoint (for example, https://yourvaultname.vault.azure.net).

En función de su configuración y entorno, hay algunas variaciones.Depending on your configuration and environment, there are some variations.

PuertosPorts

Todo el tráfico a un almacén de claves de las tres funciones (autenticación, la administración y acceso al plano de datos) se realiza a través de HTTPS: puerto 443.All traffic to a key vault for all three functions (authentication, management, and data plane access) goes over HTTPS: port 443. Sin embargo, ocasionalmente habrá tráfico HTTP (puerto 80) para CRL.However, there will occasionally be HTTP (port 80) traffic for CRL. Los clientes que admiten OCSP no deberían poder acceder a CRL, pero a veces pueden hacerlo a http://cdp1.public-trust.com/CRL/Omniroot2025.crl.Clients that support OCSP shouldn't reach CRL, but may occasionally reach http://cdp1.public-trust.com/CRL/Omniroot2025.crl.

AuthenticationAuthentication

Será preciso que las aplicaciones cliente de Key Vault accedan a los puntos de conexión de Azure Active Directory para la autenticación.Key vault client applications will need to access Azure Active Directory endpoints for authentication. El punto de conexión que se utilice dependerá de la configuración del inquilino de Azure AD, del tipo de entidad de seguridad (entidad de seguridad de usuario o entidad de servicio) y del tipo de cuenta (por ejemplo, cuenta Microsoft o una cuenta profesional o educativa.The endpoint used depends on the Azure AD tenant configuration, the type of principal (user principal or service principal), and the type of account--for example, a Microsoft account or a work or school account.

Tipo de entidad de seguridadPrincipal type Punto de conexión:puertoEndpoint:port
Usuario que utiliza cuenta MicrosoftUser using Microsoft account
(por ejemplo, user@hotmail.com)(for example, user@hotmail.com)
Global:Global:
login.microsoftonline.com:443login.microsoftonline.com:443

Azure China:Azure China:
login.chinacloudapi.cn:443login.chinacloudapi.cn:443

Azure US Gov:Azure US Government:
login.microsoftonline.us:443login.microsoftonline.us:443

Azure Alemania:Azure Germany:
login.microsoftonline.de:443login.microsoftonline.de:443

yand
login.live.com:443login.live.com:443
Entidad de seguridad de usuario o de servicio con una cuenta profesional o educativa con Azure AD (por ejemplo, user@contoso.com)User or service principal using a work or school account with Azure AD (for example, user@contoso.com) Global:Global:
login.microsoftonline.com:443login.microsoftonline.com:443

Azure China:Azure China:
login.chinacloudapi.cn:443login.chinacloudapi.cn:443

Azure US Gov:Azure US Government:
login.microsoftonline.us:443login.microsoftonline.us:443

Azure Alemania:Azure Germany:
login.microsoftonline.de:443login.microsoftonline.de:443
Entidad de seguridad de usuario o de servicio con una cuenta profesional o educativa, más Servicios de federación de Active Directory (AD FS) u otro punto de conexión federado (por ejemplo, user@contoso.com)User or service principal using a work or school account, plus Active Directory Federation Services (AD FS) or other federated endpoint (for example, user@contoso.com) Todos los puntos de conexión de una cuenta profesional o educativa, más AD FS u otros puntos de conexión federadosAll endpoints for a work or school account, plus AD FS or other federated endpoints

Hay otros escenarios complejos posibles.There are other possible complex scenarios. Para más información, consulte Escenarios de autenticación para Azure AD, Integración de aplicaciones con Azure Active Directory y Guía del desarrollador de Azure Active Directory.Refer to Azure Active Directory Authentication Flow, Integrating Applications with Azure Active Directory, and Active Directory Authentication Protocols for additional information.

Administración de Key VaultKey Vault management

Para la administración de Key Vault (CRUD y establecimiento de una directiva de acceso), es preciso que la aplicación cliente de Key Vault acceda a un punto de conexión de Azure Resource Manager.For Key Vault management (CRUD and setting access policy), the key vault client application needs to access an Azure Resource Manager endpoint.

Tipo de operaciónType of operation Punto de conexión:puertoEndpoint:port
Operaciones del plano de control de Key VaultKey Vault control plane operations
a través de Azure Resource Managervia Azure Resource Manager
Global:Global:
management.azure.com:443management.azure.com:443

Azure China:Azure China:
management.chinacloudapi.cn:443management.chinacloudapi.cn:443

Azure US Gov:Azure US Government:
management.usgovcloudapi.net:443management.usgovcloudapi.net:443

Azure Alemania:Azure Germany:
management.microsoftazure.de:443management.microsoftazure.de:443
Microsoft Graph APIMicrosoft Graph API Global:Global:
graph.microsoft.com:443graph.microsoft.com:443

Azure China:Azure China:
graph.chinacloudapi.cn:443graph.chinacloudapi.cn:443

Azure US Gov:Azure US Government:
graph.microsoft.com:443graph.microsoft.com:443

Azure Alemania:Azure Germany:
graph.cloudapi.de:443graph.cloudapi.de:443

Operaciones de Key VaultKey Vault operations

Para todas las operaciones criptográficas y de administración de objetos (claves y secretos) de Key Vault, es preciso que el cliente de Key Vault acceda al punto de conexión de Key Vault.For all key vault object (keys and secrets) management and cryptographic operations, the key vault client needs to access the key vault endpoint. En función de la ubicación del almacén de claves, el sufijo DNS del punto de conexión varía.The endpoint DNS suffix varies depending on the location of your key vault. El punto de conexión de Key Vault tiene el formato vault-name.region-specific-dns-suffix, como se describe en la tabla siguiente.The key vault endpoint is of the format vault-name.region-specific-dns-suffix, as described in the following table.

Tipo de operaciónType of operation Punto de conexión:puertoEndpoint:port
Operaciones que incluyen operaciones criptográficas en claves; crear, leer, actualizar y eliminar claves y secretos; establecer u obtener etiquetas y otros atributos de objetos de Key Vault (claves o secretos)Operations including cryptographic operations on keys; creating, reading, updating, and deleting keys and secrets; setting or getting tags and other attributes on key vault objects (keys or secrets) Global:Global:
<vault-name>.vault.azure.net:443<vault-name>.vault.azure.net:443

Azure China:Azure China:
<vault-name>.vault.azure.cn:443<vault-name>.vault.azure.cn:443

Azure US Gov:Azure US Government:
<vault-name>.vault.usgovcloudapi.net:443<vault-name>.vault.usgovcloudapi.net:443

Azure Alemania:Azure Germany:
<vault-name>.vault.microsoftazure.de:443<vault-name>.vault.microsoftazure.de:443

Intervalos de direcciones IPIP address ranges

El servicio Key Vault utiliza otros recursos de Azure como la infraestructura de PaaS.The Key Vault service uses other Azure resources like PaaS infrastructure. Por consiguiente, no es posible proporcionar un intervalo específico de direcciones IP que los puntos de conexión del servicio Key Vault tendrán en un momento concreto.So it's not possible to provide a specific range of IP addresses that Key Vault service endpoints will have at any particular time. Si el firewall solo admite intervalos de direcciones IP, consulte los documentos sobre los intervalos de direcciones IP del centro de datos de Microsoft Azure:If your firewall supports only IP address ranges, refer to Microsoft Azure Datacenter IP Ranges documents available at:

Authentication and Identity (Azure Active Directory) es un servicio global que puede conmutar por error en otras regiones o mover tráfico sin previo aviso.Authentication and Identity (Azure Active Directory) is a global service and may fail over to other regions or move traffic without notice. En este escenario, todos los intervalos IP enumerados en Direcciones IP de Authentication and Identity deben agregarse al firewall.In this scenario, all of the IP ranges listed in Authentication and Identity IP Addresses should be added to the firewall.

Pasos siguientesNext steps

Si le queda alguna duda acerca de Key Vault, visite la página de preguntas más frecuentes de Microsoft para Azure Key Vault.If you have questions about Key Vault, visit the Microsoft Q&A question page for Azure Key Vault.