キーについて
Azure Key Vault には、暗号化キーを格納および管理するための 2 種類のリソースが用意されています。 コンテナーは、ソフトウェアで保護されたキーと HSM (ハードウェア セキュリティ モジュール) で保護されたキーをサポートしています。 マネージド HSM は、HSM で保護されたキーのみをサポートしています。
| リソースの種類 | キーの保護方法 | データプレーン エンドポイント ベース URL |
|---|---|---|
| 資格情報コンテナー | ソフトウェアによる保護 および HSM で保護された (Premium SKU の場合) |
https://{vault-name}.vault.azure.net |
| マネージド HSM | HSM で保護された | https://{hsm-name}.managedhsm.azure.net |
- コンテナー - コンテナーは、最も一般的なクラウド アプリケーションのシナリオに適した、低コスト、容易なデプロイ、マルチテナント、ゾーン回復性 (使用可能な場合)、高可用性の、キー管理ソリューションを提供します。
- マネージド HSM - マネージド HSM は、暗号化キーを格納および管理するために、シングルテナント、ゾーン回復性 (使用可能な場合)、高可用性の HSM を提供します。 価値の高いキーを処理するアプリケーションと使用シナリオに最適です。 最も厳密なセキュリティ、コンプライアンス、および規制の要求を満たすためにも役立ちます。
Note
また、コンテナーを使用すると、暗号化キーの他に、シークレット、証明書、ストレージ アカウント キーなど、いくつかの種類のオブジェクトを格納および管理することもできます。
Key Vault の暗号化キーは、JSON Web Key (JWK) オブジェクトとして表されます。 JavaScript Object Notation (JSON) および JavaScript Object Signing and Encryption (JOSE) の仕様は、次のとおりです。
基本の JWK および JWA の仕様は、Azure Key Vault および Managed HSM の実装に固有のキーの種類も有効にするように拡張されます。
コンテナー内の HSM キーは保護されています。ソフトウェア キーは HSM によって保護されません。
- コンテナーに格納されているキーは、FIPS 140 適合の HSM を使用した堅牢な保護機能の利点が得られます。 キーが作成されたタイミングに応じて 2 つの異なる HSM プラットフォームを利用できます。1 つ目では、FIPS 140-2 レベル 2 でキー バージョンを保護します。2 つ目では、FIPS 140-2 レベル 3 HSM でキーを保護します。 プラットフォーム 2 を使用し、すべての新しいキーとキー バージョンが作成されるようになりました (英国地域を除く)。 キー バージョンを保護している HSM プラットフォームを判断するには、その hsmPlatform を取得します。
- マネージド HSM は、FIPS 140-2 レベル 3 で検証された HSM モジュールを使用して、キーを保護します。 各 HSM プールは、独自のセキュリティ ドメインを備えた、分離されたシングルテナント インスタンスであり、同じハードウェア インフラストラクチャを共有する他のすべての HSM から完全に分離された暗号化を提供します。
これらのキーは、シングルテナントの HSM プールで保護されます。 RSA、EC、および対称キーのインポートを、ソフト形式で、またはサポートされている HSM デバイスからのエクスポートにより、行うことができます。 HSM プールでキーを生成することもできます。 BYOK (Bring Your Own Key) の仕様で説明されている方法を使用して HSM キーをインポートすると、Managed HSM プールへの安全なトランスポート キー マテリアルが有効になります。
地理的境界について詳しくは、Microsoft Azure トラスト センターをご覧ください。
キーの種類と保護方法
Key Vault は、RSA および EC キーをサポートしています。 マネージド HSM は、RSA、EC、および対称キーをサポートしています。
HSM で保護されたキー
| キーの種類 | コンテナー (Premium SKU のみ) | マネージド HSM |
|---|---|---|
| EC-HSM:楕円曲線キー | サポートされています (P-256、P-384、P-521、secp256k1/P-256K) | サポートされています (P-256、secp256k1/P-256K、P-384、P-521) |
| RSA-HSM:RSA キー | サポートされています (2048 ビット、3072 ビット、4096 ビット) | サポートされています (2048 ビット、3072 ビット、4096 ビット) |
| oct-HSM: 対称キー | サポートされていません | サポートされています (128 ビット、192 ビット、256 ビット) |
ソフトウェアで保護されるキー
| キーの種類 | コンテナー | マネージド HSM |
|---|---|---|
| RSA:"ソフトウェアで保護される" RSA キー | サポートされています (2048 ビット、3072 ビット、4096 ビット) | サポートされていません |
| EC:"ソフトウェアで保護される" 楕円曲線キー | サポートされています (P-256、P-384、P-521、secp256k1/P-256K) | サポートされていません |
コンプライアンス
| キーの種類と出力先 | コンプライアンス |
|---|---|
| コンテナー内のソフトウェアで保護された (hsmPlatform 0) キー | FIPS 140-2 レベル 1 |
| コンテナー内の hsmPlatform 1 で保護されたキー (Premium SKU) | FIPS 140-2 Level 2 |
| コンテナー内の hsmPlatform 2 で保護されたキー (Premium SKU) | FIPS 140-2 レベル 3 |
| マネージド HSM 内のキーは常に HSM で保護されます | FIPS 140-2 レベル 3 |
キーの種類、アルゴリズム、操作、属性、タグの詳細については、「キーの種類、アルゴリズム、および操作」を参照してください。
使用シナリオ
| 使用する場合 | 例 |
|---|---|
| カスタマー マネージド キーを使用した統合リソース プロバイダー向けの Azure サーバー側のデータ暗号化 | - Azure Key Vault でのカスタマー マネージド キーを使用したサーバー側暗号化 |
| クライアント側のデータ暗号化 | - クライアント側の暗号化と Azure Key Vault |
| キーのない TLS | - キーのクライアント ライブラリを使用する |