ファイアウォールの背後にあるキー コンテナー クライアント アプリケーションがキー コンテナーにアクセスできるようにするには、どのポート、ホスト、または IP アドレスを開く必要がありますか?
キー コンテナーにアクセスするには、キー コンテナー クライアント アプリケーションがさまざまな機能のために複数のエンドポイントにアクセスする必要があります。
- Microsoft Entra ID を使用した認証。
- Azure Key Vault の管理。 これには、Azure Resource Manager を使用したアクセス ポリシーの作成、読み取り、更新、削除、設定が含まれます。
- Key Vault 自体に格納されているオブジェクト (キーとシークレット) にアクセスして管理し、Key Vault 固有のエンドポイント (
https://yourvaultname.vault.azure.netなど) を経由します。
構成と環境によっては、いくつかのバリエーションがあります。
ポート
3 つの機能 (認証、管理、データ プレーン アクセス) すべてに対するキー コンテナーへのすべてのトラフィックは、HTTPS (ポート 443) を経由します。 ただし、CRL の HTTP (ポート 80) トラフィックが発生することがあります。 OCSP をサポートするクライアントは CRL に到達しないでくださいが、 ここに記載されている CRL エンドポイントに到達することがあります。
認証
Key Vault クライアント アプリケーションは、認証のために Microsoft Entra エンドポイントにアクセスする必要があります。 使用されるエンドポイントは、Microsoft Entra テナントの構成、プリンシパルの種類 (ユーザー プリンシパルまたはサービス プリンシパル)、アカウントの種類 (Microsoft アカウント、職場または学校アカウントなど) によって異なります。
| プリンシパルの種類 | エンドポイント:ポート |
|---|---|
| Microsoft アカウントを使用しているユーザー (例: user@hotmail.com) |
login.live.com:443 グローバル: login.microsoftonline.com:443 21Vianet が運営する Microsoft Azure: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Microsoft Entra ID を持つ職場または学校アカウントを使用するユーザーまたはサービス プリンシパル (たとえば、 user@contoso.com) | グローバル: login.microsoftonline.com:443 21Vianet が運営する Microsoft Azure: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| 職場または学校アカウントを使用するユーザーまたはサービス プリンシパルに加えて、Active Directory フェデレーション サービス (AD FS) またはその他のフェデレーション エンドポイント ( user@contoso.com など) | 職場または学校アカウントのすべてのエンドポイントに加えて、AD FS またはその他のフェデレーション エンドポイント |
他にも複雑なシナリオが考えられます。 詳細については、 Microsoft Entra 認証フロー、 アプリケーションと Microsoft Entra ID の統合、 および Active Directory 認証プロトコルに関する ページを参照してください。
Key Vault の管理
Key Vault 管理 (CRUD とアクセス ポリシーの設定) の場合、キー コンテナー クライアント アプリケーションは Azure Resource Manager エンドポイントにアクセスする必要があります。
| 操作の種類 | エンドポイント:ポート |
|---|---|
| Key Vault コントロール プレーン操作 (Azure Resource Manager を使用) |
グローバル: management.azure.com:443 21Vianet が運営する Microsoft Azure: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| Microsoft Graph API | グローバル: graph.microsoft.com:443 21Vianet が運営する Microsoft Azure: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Key Vault の操作
すべてのキー コンテナー オブジェクト (キーとシークレット) の管理および暗号化操作では、キー コンテナー クライアントがキー コンテナー エンドポイントにアクセスする必要があります。 エンドポイント DNS サフィックスは、キー コンテナーの場所によって異なります。 キー ボールト エンドポイントは、ボールト名.region-specific-dns-suffix の形式です。次の表に示すように。
| 操作の種類 | エンドポイント:ポート |
|---|---|
| キーに対する暗号化操作を含む操作。キーとシークレットの作成、読み取り、更新、および削除。キー コンテナー オブジェクト (キーまたはシークレット) に対するタグやその他の属性の設定または取得 | グローバル: .vault.azure.net:443 のコンテナー名<>する 21Vianet が運営する Microsoft Azure: .vault.azure.cn:443<コンテナー名の > Azure US Government: .vault.usgovcloudapi.net:443 のコンテナー名<>する |
IP アドレスの範囲
Key Vault サービスは、PaaS インフラストラクチャなどの他の Azure リソースを使用します。 そのため、Key Vault サービス エンドポイントが特定の時点で持つ特定の範囲の IP アドレスを提供することはできません。 ファイアウォールで IP アドレス範囲のみがサポートされている場合は、以下の Microsoft Azure データセンターの IP 範囲に関するドキュメントを参照してください。
認証と ID (Microsoft Entra ID) はグローバル サービスであり、他のリージョンにフェールオーバーしたり、予告なしにトラフィックを移動したりする場合があります。 このシナリオでは、「 認証と ID IP アドレス 」に記載されているすべての IP 範囲をファイアウォールに追加する必要があります。
次のステップ
Key Vault に関する質問がある場合は、 Azure Key Vault の Microsoft Q&A 質問ページを参照してください。