Compartir vía


Acerca de las claves

Azure Key Vault proporciona dos tipos de recursos para almacenar y administrar claves criptográficas. Los almacenes admiten claves protegidas por software y protegidas con HSM (módulo de seguridad de hardware). Los HSM administrados solo admiten claves protegidas con HSM.

Tipo de recurso Métodos de protección de claves URL base del punto de conexión del plano de datos
Almacenes Protegido por software y protegido por HSM (tipos de claves HSM en SKU Premium) https://{vault-name}.vault.azure.net
HSM administrados Protegidas con HSM https://{hsm-name}.managedhsm.azure.net
  • Almacenes: los almacenes proporcionan una solución de administración de claves de bajo costo, fácil de implementar, multiinquilino, resistente a zona (donde esté disponible) y que resulta adecuada para la mayoría de los escenarios de aplicaciones en la nube.
  • HSM administrados: HSM administrado proporciona HSM de un solo inquilino y de alta disponibilidad para almacenar y administrar las claves criptográficas. Es más adecuado para aplicaciones y escenarios de uso que administran claves de alto valor. También ayuda a cumplir los requisitos de seguridad, cumplimiento normativo y regulación más estrictos.

Nota:

Los almacenes también le permiten almacenar y administrar varios tipos de objetos como secretos, certificados y claves de cuentas de almacenamiento además de las claves criptográficas.

Las claves criptográficas en Key Vault se representan como objetos de clave web JSON [JWK]. Las especificaciones de notación de objetos JavaScript (JSON) y de firma y cifrado de objetos JavaScript (JOSE) son:

Las especificaciones de JWK/JWA base también se han ampliado para habilitar los tipos de clave únicos para las implementaciones de Azure Key Vault y HSM administrado.

Las claves de HSM en almacenes están protegidas por HSM; las claves de software no están protegidas por HSM.

  • Las claves almacenadas en almacenes se benefician de una protección sólida mediante HSM validad por FIPS 140. Hay dos plataformas HSM distintas disponibles: 1, que protege las versiones clave con FIPS 140-2 nivel 2 y 2, que protege las claves con HSM de FIPS 140-2 Nivel 3, en función de cuándo se creó la clave. Todas las nuevas claves y versiones de clave ahora se crean con la plataforma 2 (excepto la geo del Reino Unido). Para determinar qué plataforma HSM protege una versión de clave, obtenga hsmPlatform.
  • HSM administrado usa módulos HSM validados con FIPS 140-2 nivel 3 para proteger las claves. Cada grupo de HSM es una instancia aislada de un solo inquilino con su propio dominio de seguridad que proporciona un aislamiento criptográfico completo de todos los demás HSM que comparten la misma infraestructura de hardware. Las claves de HSM administrado están protegidas en grupos de HSM de un solo inquilino. Puede importar una clave RSA, EC y simétrica de forma temporal o mediante la exportación desde un dispositivo HSM compatible. También puede generar claves en los grupos de HSM. Al importar claves de HSM mediante el método descrito en la especificación Bring Your Own Key, se permite el transporte seguro del material de la clave a los grupos de HSM administrados.

Para más información acerca de los límites geográficos, consulte Centro de confianza de Microsoft Azure

Tipos de clave y métodos de protección

Key Vault admite claves RSA y EC. HSM administrado admite claves RSA, EC y simétricas.

Claves protegidas con HSM

Tipo de clave Almacenes (solo SKU Premium) HSM administrados
EC-HSM: clave de curva elíptica Compatible (P-256, P-384, P-521, secp256k1/P-256K) Compatible (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: Clave RSA Compatible (2048 bits, 3072 bits, 4096 bits) Compatible (2048 bits, 3072 bits, 4096 bits)
oct-HSM: clave simétrica No compatible Compatible (128 bits, 192 bits, 256 bits)

Claves protegidas con software

Tipo de clave Almacenes HSM administrados
RSA: clave RSA "protegida con software" Compatible (2048 bits, 3072 bits, 4096 bits) No compatible
EC: clave de curva elíptica "protegida con software" Compatible (P-256, P-384, P-521, secp256k1/P-256K) No compatible

Cumplimiento normativo

Tipo de clave y destino Cumplimiento normativo
Claves protegidas por software (hsmPlatform 0) en almacenes FIPS 140-2 nivel 1
Claves protegidas de hsmPlatform 1 en almacenes (SKU Premium) FIPS 140-2 nivel 2
Claves protegidas de hsmPlatform 2 en almacenes (SKU Premium) FIPS 140-2 nivel 3
Las claves de HSM administrado siempre están protegidas por HSM FIPS 140-2 nivel 3

Consulte Tipos de claves, algoritmos y operaciones para más información sobre cada tipo de clave, algoritmos, operaciones, atributos y etiquetas.

Escenarios de uso

Cuándo se usa Ejemplos
Cifrado de datos del servidor de Azure para proveedores de recursos integrados con claves administradas por el cliente - Cifrado del servidor mediante claves administradas por el cliente en Azure Key Vault
Cifrado de datos del cliente - Cifrado del cliente con Azure Key Vault
TLS sin clave - Uso de bibliotecas cliente de claves

Pasos siguientes