Importieren von HSM-geschützten Schlüsseln in Key Vault

Zur Steigerung der Sicherheit können Sie bei Verwendung des Azure-Schlüsseltresors Schlüssel in HSMs (Hardwaresicherheitsmodule) importieren oder darin generieren. Diese Schlüssel verbleiben immer innerhalb der HSM-Grenzen. Dieses Szenario wird häufig als Bring Your Own Key (BYOK) bezeichnet. Azure Key Vault verwendet FIPS 140-validierte HSMs zum Schutz Ihrer Schlüssel.

Diese Funktionalität ist für Microsoft Azure des Betreibers 21Vianet nicht verfügbar.

Hinweis

Weitere Informationen zum Azure-Schlüsseltresor finden Sie unter Was ist der Azure-Schlüsseltresor?
Ein Tutorial zu den ersten Schritten, z.B. zum Erstellen eines Schlüsseltresors für HSM-geschützte Schlüssel, finden Sie unter Was ist Azure Key Vault?.

Unterstützte HSMs

HSM-geschützte Schlüssel können abhängig vom verwendeten HSM auf zwei Arten an Key Vault übertragen werden. In dieser Tabelle erfahren Sie, welche Methode für Ihre HSMs verwendet werden muss, um Ihre eigenen HSM-geschützten Schlüssel zu generieren und anschließend für die Verwendung mit Azure Key Vault zu übertragen.

Herstellername	Herstellertyp	Unterstützte HSM-Modelle	Unterstützte Übertragungsmethode für HSM-Schlüssel
Cryptomathic	ISV (Enterprise Key Management System)	Mehrere HSM-Marken und -Modelle, einschließlich nCipher Thales Utimaco Weitere Informationen finden Sie auf der Cryptomathic-Website.	Verwenden einer neuen BYOK-Methode
Entrust	Hersteller, HSM als Dienst (aaS)	HSM-Produktfamilie „nShield“ nShield als Dienst	Verwenden einer neuen BYOK-Methode
Fortanix	Hersteller, HSM als Dienst (aaS)	Self-Defending Key Management Service (SDKMS, selbstverteidigender Schlüsselverwaltungsdienst) Equinix SmartKey	Verwenden einer neuen BYOK-Methode
IBM	Hersteller	IBM 476x, CryptoExpress	Verwenden einer neuen BYOK-Methode
Marvell	Hersteller	Alle Liquid Security-HSMs mit Firmwareversion 2.0.4 oder höher Firmwareversion 3.2 oder höher	Verwenden einer neuen BYOK-Methode
nCipher	Hersteller, HSM als Dienst (aaS)	HSM-Produktfamilie „nShield“ nShield als Dienst	Methode 1:nCipher BYOK (veraltet) Diese Methode wird nach dem 30. Juni 2021 nicht mehr unterstützt. Methode 2:Verwenden der neuen BYOK-Methode (empfohlen) Siehe die Zeile „Entrust“ (Anvertrauen).
Securosys SA	Hersteller, HSM als Dienst	Primus-HSM-Familie, Securosys Clouds HSM	Verwenden einer neuen BYOK-Methode
StorMagic	ISV (Enterprise Key Management System)	Mehrere HSM-Marken und -Modelle, einschließlich Utimaco Thales nCipher Weitere Informationen finden Sie auf der StorMagic-Website.	Verwenden einer neuen BYOK-Methode
Thales	Hersteller	Produktfamilie „Luna HSM 7“ mit Firmwareversion 7.3 oder neuer	Verwenden einer neuen BYOK-Methode
Utimaco	Hersteller, HSM als Dienst	u.trust Anchor, CryptoServer	Verwenden einer neuen BYOK-Methode

Nächste Schritte

• Sehen Sie sich die Key Vault-Sicherheitsübersicht an, um die Sicherheit, Dauerhaftigkeit und Überwachung Ihrer Schlüssel zu gewährleisten.
• Eine vollständige Beschreibung der neuen BYOK-Methode finden Sie unter BYOK-Spezifikation.