Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "najmniej uprzywilejowanego dostępu". Aby uzyskać więcej informacji, zobacz Co to jest zero trust?
Na platformie Azure klucze szyfrowania mogą być zarządzane przez platformę lub zarządzane przez klienta.
Klucze zarządzane przez platformę (PMK) to klucze szyfrowania generowane, przechowywane i zarządzane w całości przez platformę Azure. Klienci nie komunikują się z PMK. Klucze używane dla Azure Data Encryption-at-Rest są domyślnie kluczami PMKs, na przykład.
Klucze zarządzane przez klienta (CMK) to klucze odczytywane, tworzone, usuwane, aktualizowane i/lub administrowane przez co najmniej jednego klienta. Klucze przechowywane w magazynie kluczy należących do klienta lub sprzętowym module zabezpieczeń (HSM) są kluczami CMK. Bring Your Own Key (BYOK) to scenariusz klienta Zarządzania Kluczami, w którym klient importuje (przynosi) klucze z zewnętrznej lokalizacji do usługi zarządzania kluczami platformy Azure (zobacz Azure Key Vault: Bring your own key specification).
Określony typ klucza zarządzanego przez klienta to "klucz szyfrowania klucza" (KEK). Klucz KEK to klucz podstawowy, który kontroluje dostęp do co najmniej jednego klucza szyfrowania, który sam jest szyfrowany.
Klucze zarządzane przez klienta można przechowywać lokalnie lub częściej w usłudze zarządzania kluczami w chmurze.
Usługi zarządzania kluczami platformy Azure
Platforma Azure oferuje kilka opcji przechowywania kluczy i zarządzania nimi w chmurze, w tym usługi Azure Key Vault, zarządzanego modułu HSM platformy Azure, wersji zapoznawczej modułu HSM w chmurze platformy Azure, dedykowanego modułu HSM platformy Azure i modułu HSM usługi Azure Payment. Te opcje różnią się pod względem poziomu zgodności ze standardem FIPS, obciążeniami zarządzania i zamierzonymi aplikacjami.
Aby zapoznać się z omówieniem każdej usługi zarządzania kluczami i kompleksowym przewodnikiem po wyborze odpowiedniego rozwiązania do zarządzania kluczami, zobacz How to Choose the Right Key Management Solution (Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami).
Cennik
Warstwy Usługi Azure Key Vault w warstwie Standardowa i Premium są rozliczane transakcyjnie z dodatkowymi miesięcznymi opłatami za klucz dla kluczy opartych na sprzęcie w warstwie Premium. Zarządzany moduł HSM, przeglądowy moduł HSM w chmurze, dedykowany moduł HSM i moduł HSM do płatności nie są rozliczane na zasadzie transakcyjnej; zamiast tego są to urządzenia zawsze dostępne, które są rozliczane według stałej stawki godzinowej. Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Key Vault, Cennik dedykowanego modułu HSM i Cennik modułu HSM płatności.
Limity usługi
Zarządzany moduł HSM, wersja zapoznawcza modułu HSM w chmurze, dedykowany moduł HSM i moduł HSM płatności oferują dedykowaną pojemność. Usługa Key Vault w warstwie Standardowa i Premium to oferty wielodostępne i mają limity ograniczania przepustowości. Aby uzyskać informacje o limitach usług, zobacz Limity usługi Key Vault.
Szyfrowanie danych w spoczynku
Usługa Azure Key Vault i zarządzany moduł HSM usługi Azure Key Vault mają integrację z usługami platformy Azure i usługą Microsoft 365 dla kluczy zarządzanych przez klienta, co oznacza, że klienci mogą używać własnych kluczy w usłudze Azure Key Vault i zarządzanym module HSM platformy Azure na potrzeby szyfrowania danych przechowywanych w tych usługach. Moduł HSM w chmurze w wersji zapoznawczej, dedykowany moduł HSM i moduł HSM płatności to oferty infrastruktury jako usługi i nie oferują integracji z usługami platformy Azure. Aby zapoznać się z omówieniem szyfrowania danych w stanie spoczynku za pomocą Azure Key Vault i zarządzanego HSM, zobacz Azure Data Encryption-at-Rest.
API
Moduł HSM w chmurze we wstępnej wersji zapoznawczej, dedykowany moduł HSM oraz moduł HSM do płatności obsługują interfejsy API PKCS#11, JCE/JCA i KSP/CNG, ale usługa Azure Key Vault oraz zarządzany moduł HSM tego nie robią. Usługa Azure Key Vault i zarządzany moduł HSM korzystają z interfejsu API REST usługi Azure Key Vault i oferują obsługę zestawu SDK. Aby uzyskać więcej informacji na temat interfejsu API usługi Azure Key Vault, zobacz Dokumentacja interfejsu API REST usługi Azure Key Vault.