À propos des clés
Azure Key Vault fournit deux types de ressources pour stocker et gérer les clés de chiffrement. Les coffres prennent en charge les clés protégées par logiciel et celles protégées par HSM (module de sécurité matériel). Les HSM managés prennent uniquement en charge les clés protégées par HSM.
| Type de ressource | Méthodes de protection des clés | URL de base du point de terminaison de plan de données |
|---|---|---|
| Coffres | Protégés par logiciel et Protégés par HSM (avec la référence SKU Premium) |
https://{nom-coffre}.vault.azure.net |
| Modules HSM managés | Protégés par HSM | https://{nom-hsm}.managedhsm.azure.net |
- Coffres : ils fournissent une solution de gestion des clés adaptée aux scénarios d’applications cloud les plus courants. Cette solution est peu coûteuse, facile à déployer, multilocataire, résiliente aux zones (si disponible) et à haute disponibilité.
- HSM managés : ils offrent une solution monolocataire et à haute disponibilité pour le stockage et la gestion de vos clés de chiffrement. Ils sont particulièrement adaptés aux scénarios d’usage et d’applications qui utilisent des clés de grande valeur. Ils aident également à remplir les exigences les plus strictes en matière de sécurité, de conformité et de réglementation.
Notes
Les coffres vous permettent également de stocker et de gérer plusieurs types d’objets tels que les secrets, les certificats et les clés de compte de stockage, en plus des clés de chiffrement.
Les clés de chiffrement dans Key Vault sont représentées en tant qu’objets de clé web JSON [JWK]. Les spécifications JSON (JavaScript Object Notation) et JOSE (JavaScript Object Signing and Encryption) sont :
Les spécifications JWK/JWA de base sont également étendues pour rendre les types de clés uniques dans les implémentations de coffres Azure Key Vault et de HSM managés.
Les clés HSM dans les coffres sont protégées. Les clés logicielles ne sont pas protégées par des HSM.
- Les clés stockées dans les coffres bénéficient d’une protection robuste avec les HSM validés FIPS 140. Il existe deux plateformes HSM distinctes disponibles : 1, qui protège les versions de clé avec FIPS 140-2 Niveau 2, et 2, qui protège les clés avec des modules HSM FIPS 140-2 Niveau 3, en fonction de la date de création de la clé. Toutes les nouvelles clés et versions de clés sont désormais créées à l’aide de la plateforme 2 (à l’exception de la zone géographique Royaume-Uni). Pour déterminer quelle plateforme HSM protège une version de clé, obtenez sa hsmPlatform.
- Les HSM managés utilisent des modules HSM conformes à la norme FIPS 140-2 niveau 3 pour protéger vos clés. Chaque pool HSM est une instance monolocataire isolée qui a son propre domaine de sécurité, offrant ainsi une isolation de chiffrement complète de tous les autres modules HSM partageant la même infrastructure matérielle.
Ces clés sont protégées dans des pools HSM monolocataires. Vous pouvez importer une clé RSA, EC et symétrique sous forme logicielle ou en l’exportant à partir d’un matériel HSM pris en charge. Vous pouvez aussi générer des clés dans les pools HSM. Lorsque vous importez des clés HSM en utilisant la méthode décrite dans la spécification BYOK (Bring Your Own Key), vous sécurisez les éléments de clé de transport dans des pools HSM managés.
Pour plus d’informations sur les frontières géographiques, consultez Centre de gestion de la confidentialité Microsoft Azure
Types de clés et méthodes de protection
Key Vault prend en charge les clés RSA et EC. Un HSM managé prend en charge les clés RSA, EC et symétriques.
Clés protégées par HSM
| Type de clé | Coffres (SKU Premium uniquement) | Modules HSM managés |
|---|---|---|
| EC-HSM : clé Elliptic Curve | Pris en charge (P-256, P-384, P-521, secp256k1/P-256K) | Pris en charge (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM : clé RSA | Pris en charge (2048 bits, 3072 bits, 4096 bits) | Pris en charge (2048 bits, 3072 bits, 4096 bits) |
| oct-HSM : clé symétrique | Non pris en charge | Pris en charge (128 bits, 192 bits, 256 bits) |
Clés protégées par logiciel
| Type de clé | Coffres | Modules HSM managés |
|---|---|---|
| RSA : clé RSA « protégée par logiciel » | Pris en charge (2048 bits, 3072 bits, 4096 bits) | Non pris en charge |
| EC : clé Elliptic Curve « protégée par logiciel » | Pris en charge (P-256, P-384, P-521, secp256k1/P-256K) | Non pris en charge |
Conformité
| Type et destination de la clé | Conformité |
|---|---|
| Clés protégées par logiciel (hsmPlatform 0) dans les coffres | FIPS 140-2 niveau 1 |
| Clés protégées par hsmPlatform 1 dans des coffres (SKU Premium) | FIPS 140-2 niveau 2 |
| Clés protégées par hsmPlatform 2 dans des coffres (SKU Premium) | FIPS 140-2 niveau 3 |
| Les clés dans HSM managé sont toujours protégées par HSM | FIPS 140-2 niveau 3 |
Pour plus d’informations sur chaque type de clé, mais aussi sur les algorithmes, les opérations, les attributs et les étiquettes, consultez Types de clés, algorithmes et opérations.
Scénarios d’utilisation
| Quand l’utiliser | Exemples |
|---|---|
| Chiffrement des données côté serveur Azure pour les fournisseurs de ressources intégrés avec des clés gérées par le client | - Chiffrement côté serveur à l’aide de clés gérées par le client dans Azure Key Vault |
| Chiffrement des données côté client | - Chiffrement côté client à l’aide d’Azure Key Vault |
| Protocole TLS sans clé | - Utiliser les bibliothèques de client principales |
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour