Accedere a Insieme di credenziali delle chiavi di Azure protetto da firewallAccess Azure Key Vault behind a firewall

D: L'applicazione client dell'insieme di credenziali delle chiavi deve essere protetta da firewall.Q: My key vault client application needs to be behind a firewall. Quali porte, host o indirizzi IP è necessario aprire per consentire l'accesso a un insieme di credenziali delle chiavi?What ports, hosts, or IP addresses should I open to enable access to a key vault?

Per accedere a un insieme di credenziali delle chiavi, l'applicazione client dell'insieme di credenziali delle chiavi deve poter accedere a più endpoint per varie funzionalità:To access a key vault, your key vault client application has to access multiple endpoints for various functionalities:

  • Autenticazione tramite Azure Active Directory (Azure AD).Authentication via Azure Active Directory (Azure AD).
  • Gestione di Insieme di credenziali delle chiavi di Azure,Management of Azure Key Vault. inclusa la creazione, la lettura, l'aggiornamento, l'eliminazione e l'impostazione dei criteri di accesso tramite Azure Resource Manager.This includes creating, reading, updating, deleting, and setting access policies through Azure Resource Manager.
  • Accesso e gestione di oggetti (chiavi e segreti) archiviati nell'insieme di credenziali delle chiavi eseguiti tramite l'endpoint specifico dell'insieme di credenziali delle chiavi, ad esempio https://nomeinsiemecredenziali.vault.azure.net.Accessing and managing objects (keys and secrets) stored in Key Vault itself, going through the Key Vault-specific endpoint (for example, https://yourvaultname.vault.azure.net).

Esistono alcune varianti a seconda della configurazione e dell'ambiente.Depending on your configuration and environment, there are some variations.

PortePorts

Tutto il traffico verso un insieme di credenziali delle chiavi per tutte e tre le funzioni (autenticazione, gestione e accesso al piano dati) passa per la porta HTTPS 443.All traffic to a key vault for all three functions (authentication, management, and data plane access) goes over HTTPS: port 443. Verrà tuttavia generato occasionalmente traffico HTTP (porta 80) per CRL.However, there will occasionally be HTTP (port 80) traffic for CRL. I client che supportano OCSP non devono raggiungere CRL, ma possono in alcuni casi raggiungere http://cdp1.public-trust.com/CRL/Omniroot2025.crl.Clients that support OCSP shouldn't reach CRL, but may occasionally reach http://cdp1.public-trust.com/CRL/Omniroot2025.crl.

AutenticazioneAuthentication

Le applicazioni client dell'insieme di credenziali delle chiavi dovrà accedere agli endpoint di Azure Active Directory per l'autenticazione.Key vault client applications will need to access Azure Active Directory endpoints for authentication. L'endpoint usato dipende dalla configurazione del tenant di Azure AD, dal tipo di entità (entità utente o entità servizio) e dal tipo di account, ad esempio account Microsoft o account aziendale o dell'istituto di istruzione.The endpoint used depends on the Azure AD tenant configuration, the type of principal (user principal or service principal), and the type of account--for example, a Microsoft account or a work or school account.

Tipo di entitàPrincipal type Endpoint:portaEndpoint:port
Utente che usa un account MicrosoftUser using Microsoft account
(ad esempio, user@hotmail.com)(for example, user@hotmail.com)
Globale:Global:
login.microsoftonline.com:443login.microsoftonline.com:443

Azure per la Cina:Azure China:
login.chinacloudapi.cn:443login.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:Azure US Government:
login-us.microsoftonline.com:443login-us.microsoftonline.com:443

Azure per la Germania:Azure Germany:
login.microsoftonline.de:443login.microsoftonline.de:443

eand
login.live.com:443login.live.com:443
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione con Azure AD (ad esempio, user@contoso.com)User or service principal using a work or school account with Azure AD (for example, user@contoso.com) Globale:Global:
login.microsoftonline.com:443login.microsoftonline.com:443

Azure per la Cina:Azure China:
login.chinacloudapi.cn:443login.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:Azure US Government:
login-us.microsoftonline.com:443login-us.microsoftonline.com:443

Azure per la Germania:Azure Germany:
login.microsoftonline.de:443login.microsoftonline.de:443
Utente o entità servizio che usa un account aziendale o dell'istituto di istruzione oltre ad Active Directory Federation Services (AD FS) o un altro endpoint federato (ad esempio, user@contoso.com)User or service principal using a work or school account, plus Active Directory Federation Services (AD FS) or other federated endpoint (for example, user@contoso.com) Tutti gli endpoint per un account aziendale o dell'istituto di istruzione oltre ad AD FS o altri endpoint federatiAll endpoints for a work or school account, plus AD FS or other federated endpoints

Esistono altri possibili scenari complessi.There are other possible complex scenarios. Per altre informazioni, vedere Azure Active Directory Authentication Flow (Flussi di autenticazione di Azure Active Directory), Integrazione di applicazioni con Azure Active Directory e Active Directory Authentication Protocols (Protocolli di autenticazione di Active Directory Authentication).Refer to Azure Active Directory Authentication Flow, Integrating Applications with Azure Active Directory, and Active Directory Authentication Protocols for additional information.

Gestione dell'insieme di credenziali delle chiaviKey Vault management

Per la gestione dell'insieme di credenziali delle chiavi (CRUD e impostazione dei criteri di accesso), l'applicazione client dell'insieme di credenziali delle chiavi deve accedere all'endpoint di Azure Resource Manager.For Key Vault management (CRUD and setting access policy), the key vault client application needs to access an Azure Resource Manager endpoint.

Tipo di operazioneType of operation Endpoint:portaEndpoint:port
Operazioni del piano di controllo dell'insieme di credenziali delle chiaviKey Vault control plane operations
tramite Azure Resource Managervia Azure Resource Manager
Globale:Global:
management.azure.com:443management.azure.com:443

Azure per la Cina:Azure China:
management.chinacloudapi.cn:443management.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:Azure US Government:
management.usgovcloudapi.net:443management.usgovcloudapi.net:443

Azure per la Germania:Azure Germany:
management.microsoftazure.de:443management.microsoftazure.de:443
API Graph di Azure Active DirectoryAzure Active Directory Graph API Globale:Global:
graph.windows.net:443graph.windows.net:443

Azure per la Cina:Azure China:
graph.chinacloudapi.cn:443graph.chinacloudapi.cn:443

Azure per enti pubblici statunitensi:Azure US Government:
graph.windows.net:443graph.windows.net:443

Azure per la Germania:Azure Germany:
graph.cloudapi.de:443graph.cloudapi.de:443

Operazioni dell'insieme di credenziali delle chiaviKey Vault operations

Per tutte le operazioni di gestione e crittografia degli oggetti (chiavi e segreti) dell'insieme di credenziali delle chiavi, il client dell'insieme di credenziali delle chiavi deve accedere all'endpoint dell'insieme stesso.For all key vault object (keys and secrets) management and cryptographic operations, the key vault client needs to access the key vault endpoint. Il suffisso DNS dell'endpoint varia a seconda della posizione dell'insieme di credenziali delle chiavi.The endpoint DNS suffix varies depending on the location of your key vault. Il formato dell'endpoint dell'insieme di credenziali delle chiavi è nome-insiemecredenziali.suffisso-dns-area-geografica, come descritto nella tabella seguente.The key vault endpoint is of the format vault-name.region-specific-dns-suffix, as described in the following table.

Tipo di operazioneType of operation Endpoint:portaEndpoint:port
Operazioni come crittografia sulle chiavi; creazione, lettura, aggiornamento ed eliminazione di chiavi e segreti; impostazione o definizione di tag e altri attributi per gli oggetti dell'insieme di credenziali delle chiavi (chiavi o segreti)Operations including cryptographic operations on keys; creating, reading, updating, and deleting keys and secrets; setting or getting tags and other attributes on key vault objects (keys or secrets) Globale:Global:
<nome-insiemecredenziali>.vault.azure.net:443<vault-name>.vault.azure.net:443

Azure per la Cina:Azure China:
<nome-insiemecredenziali>.vault.azure.cn:443<vault-name>.vault.azure.cn:443

Azure per enti pubblici statunitensi:Azure US Government:
<nome-insiemecredenziali>.vault.usgovcloudapi.net:443<vault-name>.vault.usgovcloudapi.net:443

Azure per la Germania:Azure Germany:
<nome-insiemecredenziali>.vault.microsoftazure.de:443<vault-name>.vault.microsoftazure.de:443

Intervalli di indirizzi IPIP address ranges

Il servizio Insieme di credenziali delle chiavi usa altre risorse di Azure come l'infrastruttura PaaS.The Key Vault service uses other Azure resources like PaaS infrastructure. Non è quindi possibile fornire uno specifico intervallo di indirizzi IP disponibile per gli endpoint del servizio Insieme di credenziali delle chiavi in un determinato momento.So it's not possible to provide a specific range of IP addresses that Key Vault service endpoints will have at any particular time. Se il firewall supporta solo gli intervalli di indirizzi IP, vedere il documento Microsoft Azure Datacenter IP Ranges (Intervalli di indirizzi IP del data center di Azure).If your firewall supports only IP address ranges, refer to the Microsoft Azure Datacenter IP Ranges document. Per l'autenticazione e l'identità (Azure Active Directory), l'applicazione deve potersi connettere agli endpoint descritti in Authentication and identity addresses (Indirizzi di identità e autenticazione).For authentication and identity (Azure Active Directory), your application must be able to connect to the endpoints described in Authentication and identity addresses.

Passaggi successiviNext steps

In caso di domande sull'insieme di credenziali delle chiavi, visitare i forum di Insieme di credenziali delle chiavi di Azure.If you have questions about Key Vault, visit the Azure Key Vault Forums.