Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u toegang wilt krijgen tot een sleutelkluis achter een firewall, moet uw clienttoepassing toegang hebben tot meerdere eindpunten voor de volgende functies:
- Authentication: Microsoft Entra eindpunten voor het verifiëren van de beveiligingsprincipaal. Zie Authentication in Azure Key Vault voor meer informatie.
- Management (besturingsvlak): Azure Resource Manager eindpunten voor het maken, lezen, bijwerken, verwijderen en configureren van sleutelkluizen.
-
Toegang tot gegevensvlak: Key Vault-specifieke eindpunten (bijvoorbeeld
https://yourvaultname.vault.azure.net) voor toegang tot en het beheren van sleutels, geheimen en certificaten.
Afhankelijk van uw configuratie en omgeving zijn er enkele variaties.
Opmerking
Zie
Poorten
Al het verkeer naar een sleutelkluis voor alle drie functies (verificatie, beheer en toegang tot gegevensvlakken) gaat via HTTPS: poort 443. Er is echter af en toe HTTP-verkeer (poort 80) voor CRL-controles (certificaatintrekkingslijst). Clients die ondersteuning bieden voor CRL (Online Certificate Status Protocol) moeten CRL niet bereiken, maar soms CRL-eindpunten bereiken die worden vermeld in Azure CA-details.
Verificatie-eindpunten
Key Vault-clienttoepassingen moeten toegang hebben tot Microsoft Entra eindpunten voor verificatie. Het gebruikte eindpunt is afhankelijk van de Microsoft Entra tenantconfiguratie, het type principal (gebruikers-principal of service-principal) en het type account (bijvoorbeeld een Microsoft-account of een werk- of schoolaccount). Zie Authentication in Azure Key Vault voor meer informatie over verificatie.
| Principaltype | Eindpunt:poort |
|---|---|
| Gebruiker die een Microsoft-account gebruikt (bijvoorbeeld, user@hotmail.com) |
login.live.com:443 Globaal: login.microsoftonline.com:443 Microsoft Azure beheerd door 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Gebruiker of service-principal met een werk- of schoolaccount met Microsoft Entra ID (bijvoorbeeld user@contoso.com) |
Globaal: login.microsoftonline.com:443 Microsoft Azure beheerd door 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Gebruiker of service-principal met een werk- of schoolaccount, plus Active Directory Federation Services (AD FS) of een ander federatief eindpunt (bijvoorbeeld user@contoso.com) | Alle eindpunten voor een werk- of schoolaccount, plus AD FS of andere federatieve eindpunten |
Zie Microsoft Entra verificatiestroom, Integrating Applications with Microsoft Entra ID en Active Directory Authentication Protocols voor meer informatie over verificatiescenario's en stromen.
Eindpunten van controlevlak
Voor Key Vault beheerbewerkingen (CRUD en het instellen van toegangsbeleid) moet de key vault clienttoepassing toegang hebben tot Azure Resource Manager eindpunten. Zie Toegang tot Key Vault sleutels, certificaten en geheimen met Azure op rollen gebaseerd toegangsbeheer voor meer informatie over het besturingsvlak en het toegangsmodel voor gegevensvlakken.
| Bewerkingssoort | Eindpunt:poort |
|---|---|
| bewerkingen van Key Vault besturingsvlak via Azure Resource Manager |
Globaal: management.azure.com:443 Microsoft Azure beheerd door 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| Microsoft Graph API |
Globaal: graph.microsoft.com:443 Microsoft Azure beheerd door 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Eindpunten van het gegevensvlak
Voor het beheer van alle sleutelkluisobjecten (sleutels, geheimen en certificaten) en cryptografische bewerkingen moet de sleutelkluisclient toegang hebben tot het sleutelkluiseindpunt. Het DNS-achtervoegsel van het eindpunt varieert, afhankelijk van de locatie van uw sleutelkluis. Het eindpunt van de sleutelkluis heeft het formaat kluissleutel.regiospecifiek DNS-achtervoegsel, zoals beschreven in de volgende tabel.
| Type van bewerking | Eindpunt:poort |
|---|---|
| Bewerkingen, waaronder cryptografische bewerkingen op sleutels; maken, lezen, bijwerken en verwijderen van sleutels en geheimen; tags en andere kenmerken voor sleutelkluisobjecten (sleutels of geheimen) instellen of ophalen |
Globaal: <kluisnaam>.vault.azure.net:443 Microsoft Azure beheerd door 21Vianet: <kluisnaam>.vault.azure.cn:443 Azure US Government: <kluisnaam>.vault.usgovcloudapi.net:443 |
IP-adresbereiken
De Key Vault-service maakt gebruik van andere Azure resources, zoals paaS-infrastructuur, zodat het niet mogelijk is om een specifiek bereik van IP-adressen op te geven dat Key Vault service-eindpunten op een bepaald moment hebben. Als uw firewall alleen IP-adresbereiken ondersteunt, kunt u de Microsoft Azure Datacenter IP-bereiken documenten raadplegen.
Verificatie en identiteit (Microsoft Entra ID) is een globale service en kan zonder kennisgeving een failover naar andere regio's uitvoeren of verkeer verplaatsen. In dit scenario voegt u alle IP-bereiken toe die worden vermeld in IP-adressen voor verificatie en identiteit aan de firewall.
Volgende stappen
- Netwerkbeveiliging configureren voor Azure Key Vault
- Secure your Azure Key Vault
- Virtuele netwerkservice-eindpunten voor Azure Key Vault
- Integrate Key Vault with Azure Private Link
- Verificatie in Azure Key Vault
- Als u vragen hebt over Key Vault, gaat u naar de Microsoft Q&A-vraagpagina voor Azure Key Vault.