À propos des clés

Azure Key Vault fournit deux types de ressources pour stocker et gérer les clés de chiffrement. Les coffres prennent en charge les clés protégées par logiciel et celles protégées par HSM (module de sécurité matériel). Les HSM managés prennent uniquement en charge les clés protégées par HSM.

Type de ressource	Méthodes de protection des clés	URL de base du point de terminaison de plan de données
Coffres	Clés protégées par logiciel et protégées par HSM (types de clés HSM dans le SKU Premium).	https://{nom-coffre}.vault.azure.net
Modules HSM managés	Protégés par HSM	https://{nom-hsm}.managedhsm.azure.net

• Coffres : ils fournissent une solution de gestion des clés adaptée aux scénarios d’applications cloud les plus courants. Cette solution est peu coûteuse, facile à déployer, multilocataire, résiliente aux zones (si disponible) et à haute disponibilité.
• HSM managés : ils offrent une solution monolocataire et à haute disponibilité pour le stockage et la gestion de vos clés de chiffrement. Ils sont particulièrement adaptés aux scénarios d’usage et d’applications qui utilisent des clés de grande valeur. Ils aident également à remplir les exigences les plus strictes en matière de sécurité, de conformité et de réglementation.

Notes

Les coffres vous permettent également de stocker et de gérer plusieurs types d’objets tels que les secrets, les certificats et les clés de compte de stockage, en plus des clés de chiffrement.

Les clés de chiffrement dans Key Vault sont représentées en tant qu’objets de clé web JSON [JWK]. Les spécifications JSON (JavaScript Object Notation) et JOSE (JavaScript Object Signing and Encryption) sont :

• Clé web JSON (JWK)
• Chiffrement web JSON (JWE)
• Algorithmes web JSON (JWA)
• Signature web JSON (JWS)

Les spécifications JWK/JWA de base sont également étendues pour rendre les types de clés uniques dans les implémentations de coffres Azure Key Vault et de HSM managés.

Les clés HSM dans les coffres sont protégées par des HSM ; les clés logicielles ne sont pas protégées par des HSM.

• Les clés stockées dans les coffres bénéficient d’une protection robuste avec les HSM validés FIPS 140. Il existe deux plateformes HSM distinctes disponibles : 1, qui protège les versions de clé avec FIPS 140-2 Niveau 2, et 2, qui protège les clés avec des modules HSM FIPS 140-2 Niveau 3, en fonction de la date de création de la clé. Toutes les nouvelles clés et versions de clés sont désormais créées à l’aide de la plateforme 2 (à l’exception de la zone géographique Royaume-Uni). Pour déterminer quelle plateforme HSM protège une version de clé, obtenez sa hsmPlatform.
• Les HSM managés utilisent des modules HSM conformes à la norme FIPS 140-2 niveau 3 pour protéger vos clés. Chaque pool HSM est une instance monolocataire isolée qui a son propre domaine de sécurité, offrant ainsi une isolation de chiffrement complète de tous les autres modules HSM partageant la même infrastructure matérielle. Les clés HSM gérées sont protégées dans des pools HSM à locataire unique. Vous pouvez importer une clé RSA, EC et symétrique sous forme logicielle ou en l’exportant à partir d’un matériel HSM pris en charge. Vous pouvez aussi générer des clés dans les pools HSM. Lorsque vous importez des clés HSM en utilisant la méthode décrite dans la spécification BYOK (Bring Your Own Key), vous sécurisez les éléments de clé de transport dans des pools HSM managés.

Pour plus d’informations sur les frontières géographiques, consultez Centre de gestion de la confidentialité Microsoft Azure

Types de clés et méthodes de protection

Key Vault prend en charge les clés RSA et EC. Un HSM managé prend en charge les clés RSA, EC et symétriques.

Clés protégées par HSM

Type de clé	Coffres (SKU Premium uniquement)	Modules HSM managés
EC-HSM : clé Elliptic Curve	Pris en charge (P-256, P-384, P-521, secp256k1/P-256K)	Pris en charge (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM : clé RSA	Pris en charge (2048 bits, 3072 bits, 4096 bits)	Pris en charge (2048 bits, 3072 bits, 4096 bits)
oct-HSM : clé symétrique	Non pris en charge	Pris en charge (128 bits, 192 bits, 256 bits)

Clés protégées par logiciel

Type de clé	Coffres	Modules HSM managés
RSA : clé RSA « protégée par logiciel »	Pris en charge (2048 bits, 3072 bits, 4096 bits)	Non pris en charge
EC : clé Elliptic Curve « protégée par logiciel »	Pris en charge (P-256, P-384, P-521, secp256k1/P-256K)	Non pris en charge

Conformité

Type et destination de la clé	Conformité
Clés protégées par logiciel (hsmPlatform 0) dans les coffres	FIPS 140-2 niveau 1
Clés protégées par hsmPlatform 1 dans des coffres (SKU Premium)	FIPS 140-2 niveau 2
Clés protégées par hsmPlatform 2 dans des coffres (SKU Premium)	FIPS 140-2 niveau 3
Les clés dans HSM managé sont toujours protégées par HSM	FIPS 140-2 niveau 3

Pour plus d’informations sur chaque type de clé, mais aussi sur les algorithmes, les opérations, les attributs et les étiquettes, consultez Types de clés, algorithmes et opérations.

Scénarios d’utilisation

Quand l’utiliser	Exemples
Chiffrement des données côté serveur Azure pour les fournisseurs de ressources intégrés avec des clés gérées par le client	- Chiffrement côté serveur à l’aide de clés gérées par le client dans Azure Key Vault
Chiffrement des données côté client	- Chiffrement côté client à l’aide d’Azure Key Vault
Protocole TLS sans clé	- Utiliser les bibliothèques de client principales

Étapes suivantes

• Gestion des clés dans Azure
• À propos de Key Vault
• À propos de HSM managé
• À propos des secrets
• À propos des certificats
• Vue d’ensemble de l’API REST Azure Key Vault
• Authentification, requêtes et réponses
• Guide du développeur Key Vault