Aceder ao Cofre de Chaves do Azure protegido por firewallAccess Azure Key Vault behind a firewall

Que portas, anfitriões ou endereços IP devo abrir para permitir que a minha aplicação de cliente do cofre chave atrás de uma firewall aceda ao cofre das chaves?What ports, hosts, or IP addresses should I open to enable my key vault client application behind a firewall to access key vault?

Para aceder a um cofre de chaves, a sua aplicação cliente do cofre de chaves tem de aceder a vários pontos finais para várias funcionalidades:To access a key vault, your key vault client application has to access multiple endpoints for various functionalities:

  • Autenticação através do Azure Active Directory (Azure AD).Authentication via Azure Active Directory (Azure AD).
  • Gestão do Cofre de Chaves do Azure.Management of Azure Key Vault. Isto inclui criar, ler, atualizar, eliminar e definir políticas de acesso através do Azure Resource Manager.This includes creating, reading, updating, deleting, and setting access policies through Azure Resource Manager.
  • Aceder e gerir objetos (chaves e segredos) armazenados no próprio Key Vault, através do ponto final específico do Key Vault (por exemplo, https://yourvaultname.vault.azure.net).Accessing and managing objects (keys and secrets) stored in Key Vault itself, going through the Key Vault-specific endpoint (for example, https://yourvaultname.vault.azure.net).

Dependendo da configuração e do ambiente, existem algumas variações.Depending on your configuration and environment, there are some variations.

PortasPorts

Todo o tráfego para um cofre de chaves para as três funções (autenticação, gestão e acesso ao plano de dados) é feito por HTTPS: porta 443.All traffic to a key vault for all three functions (authentication, management, and data plane access) goes over HTTPS: port 443. No entanto, existirá ocasionalmente tráfego HTTP (porta 80) para CRL.However, there will occasionally be HTTP (port 80) traffic for CRL. Os clientes que suportam o OCSP não devem chegar à CRL, mas podem ocasionalmente chegar http://cdp1.public-trust.com/CRL/Omniroot2025.crl .Clients that support OCSP shouldn't reach CRL, but may occasionally reach http://cdp1.public-trust.com/CRL/Omniroot2025.crl.

AutenticaçãoAuthentication

As aplicações cliente do Cofre de Chaves terão de aceder a pontos finais do Azure Active Directory para autenticação.Key vault client applications will need to access Azure Active Directory endpoints for authentication. O ponto final utilizado depende da configuração do inquilino do Azure AD, do tipo de principal (principal de utilizador ou principal de serviço) e do tipo de conta - por exemplo, uma conta Microsoft ou uma conta escolar ou profissional.The endpoint used depends on the Azure AD tenant configuration, the type of principal (user principal or service principal), and the type of account--for example, a Microsoft account or a work or school account.

Tipo de principalPrincipal type Ponto final:portaEndpoint:port
Utilizador com conta MicrosoftUser using Microsoft account
(por exemplo, user@hotmail.com)(for example, user@hotmail.com)
Global:Global:
login.microsoftonline.com:443login.microsoftonline.com:443

Azure China:Azure China:
login.chinacloudapi.cn:443login.chinacloudapi.cn:443

Governo Azure US:Azure US Government:
login.microsoftonline.us:443login.microsoftonline.us:443

Azure Alemanha:Azure Germany:
login.microsoftonline.de:443login.microsoftonline.de:443

eand
login.live.com:443login.live.com:443
Principal de utilizador ou serviço com uma conta escolar ou profissional com o Azure AD (por exemplo, user@contoso.com)User or service principal using a work or school account with Azure AD (for example, user@contoso.com) Global:Global:
login.microsoftonline.com:443login.microsoftonline.com:443

Azure China:Azure China:
login.chinacloudapi.cn:443login.chinacloudapi.cn:443

Governo Azure US:Azure US Government:
login.microsoftonline.us:443login.microsoftonline.us:443

Azure Alemanha:Azure Germany:
login.microsoftonline.de:443login.microsoftonline.de:443
Principal de utilizador ou serviço com uma conta escolar ou profissional, mais Serviços de Federação do Active Directory (AD FS) ou outro ponto final federado (por exemplo, user@contoso.com)User or service principal using a work or school account, plus Active Directory Federation Services (AD FS) or other federated endpoint (for example, user@contoso.com) Todos os pontos finais para uma conta escolar ou profissional, mais AD FS ou outros pontos finais federadosAll endpoints for a work or school account, plus AD FS or other federated endpoints

Existem outros cenários possíveis complexos.There are other possible complex scenarios. Consulte Fluxo de Autenticação do Azure Active Directory, Integrar Aplicações com o Azure Active Directory e Protocolos de Autenticação do Active Directory para obter informações adicionais.Refer to Azure Active Directory Authentication Flow, Integrating Applications with Azure Active Directory, and Active Directory Authentication Protocols for additional information.

Gestão do Cofre de ChavesKey Vault management

Para a gestão do Cofre de Chaves (CRUD e definição da política de acesso), a aplicação cliente do cofre de chaves tem de aceder a um ponto final do Azure Resource Manager.For Key Vault management (CRUD and setting access policy), the key vault client application needs to access an Azure Resource Manager endpoint.

Tipo de operaçãoType of operation Ponto final:portaEndpoint:port
Operações do painel de controlo do Cofre de ChavesKey Vault control plane operations
através do Azure Resource Managervia Azure Resource Manager
Global:Global:
management.azure.com:443management.azure.com:443

Azure China:Azure China:
management.chinacloudapi.cn:443management.chinacloudapi.cn:443

Governo Azure US:Azure US Government:
management.usgovcloudapi.net:443management.usgovcloudapi.net:443

Azure Alemanha:Azure Germany:
management.microsoftazure.de:443management.microsoftazure.de:443
Microsoft Graph APIMicrosoft Graph API Global:Global:
graph.microsoft.com:443graph.microsoft.com:443

Azure China:Azure China:
graph.chinacloudapi.cn:443graph.chinacloudapi.cn:443

Governo Azure US:Azure US Government:
graph.microsoft.com:443graph.microsoft.com:443

Azure Alemanha:Azure Germany:
graph.cloudapi.de:443graph.cloudapi.de:443

Operações do Cofre de ChavesKey Vault operations

Para todas as operações criptográficas e de gestão de objetos do cofre de chaves (chaves e segredos), o cliente do cofre de chaves precisa de aceder ao ponto final do cofre de chaves.For all key vault object (keys and secrets) management and cryptographic operations, the key vault client needs to access the key vault endpoint. O sufixo DNS do ponto final varia consoante a localização do seu cofre de chaves.The endpoint DNS suffix varies depending on the location of your key vault. O ponto final do cofre de chaves tem o formato vault-name. region-specific-dns-suffix , tal como descrito na tabela seguinte.The key vault endpoint is of the format vault-name. region-specific-dns-suffix , as described in the following table.

Tipo de operaçãoType of operation Ponto final:portaEndpoint:port
Operações, incluindo operações criptográficas em chaves; criar, ler, atualizar e eliminar chaves e segredos; definir ou obter etiquetas e outros atributos de objetos de cofre de chaves (chaves ou segredos)Operations including cryptographic operations on keys; creating, reading, updating, and deleting keys and secrets; setting or getting tags and other attributes on key vault objects (keys or secrets) Global:Global:
<vault-name>.vault.azure.net:443<vault-name>.vault.azure.net:443

Azure China:Azure China:
<vault-name>.vault.azure.cn:443<vault-name>.vault.azure.cn:443

Governo Azure US:Azure US Government:
<vault-name>.vault.usgovcloudapi.net:443<vault-name>.vault.usgovcloudapi.net:443

Azure Alemanha:Azure Germany:
<vault-name>.vault.microsoftazure.de:443<vault-name>.vault.microsoftazure.de:443

Intervalos de endereços IPIP address ranges

O serviço Cofre de Chaves utiliza outros recursos do Azure, como a infraestrutura PaaS.The Key Vault service uses other Azure resources like PaaS infrastructure. Por isso, não é possível fornecer um intervalo de endereços IP específico que os pontos finais do serviço Cofre de Chaves terão num determinado momento.So it's not possible to provide a specific range of IP addresses that Key Vault service endpoints will have at any particular time. Se a sua firewall suporta apenas intervalos de endereços IP, consulte os documentos IP Ranges do Microsoft Azure Datacenter disponíveis em:If your firewall supports only IP address ranges, refer to Microsoft Azure Datacenter IP Ranges documents available at:

A Autenticação e Identidade (Azure Active Directory) é um serviço global e pode efetuar a ativação pós-falha noutras regiões ou mover tráfego sem aviso prévio.Authentication and Identity (Azure Active Directory) is a global service and may fail over to other regions or move traffic without notice. Neste cenário, todos os intervalos de IP listados em Endereços IP de Identidade e Autenticação devem ser adicionados à firewall.In this scenario, all of the IP ranges listed in Authentication and Identity IP Addresses should be added to the firewall.

Passos seguintesNext steps

Se tiver dúvidas sobre o Key Vault, visite a página de perguntas do Microsoft Q&A questione para o Azure Key Vault.If you have questions about Key Vault, visit the Microsoft Q&A question page for Azure Key Vault.