Acerca de chaves

O Azure Key Vault fornece dois tipos de recursos para armazenar e gerenciar chaves criptográficas. Os cofres suportam chaves protegidas por software e HSM (Hardware Security Module). Os HSMs gerenciados suportam apenas chaves protegidas por HSM.

Tipo de recurso	Principais métodos de proteção	URL da base de ponto de extremidade do plano de dados
Cofres	Protegido por software e HSM (tipos de chave HSM no Premium SKU)	https://{nome do cofre}.vault.azure.net
HSMs gerenciados	Protegido por HSM	https://{hsm-name}.managedhsm.azure.net

• Cofres - Os cofres fornecem uma solução de gerenciamento de chaves de baixo custo, fácil de implantar, multilocatário, resiliente a zonas (quando disponível) e altamente disponível, adequada para os cenários mais comuns de aplicativos em nuvem.
• HSMs gerenciados - O HSM gerenciado fornece HSMs de locatário único e altamente disponíveis para armazenar e gerenciar suas chaves criptográficas. Mais adequado para aplicativos e cenários de uso que lidam com chaves de alto valor. Também ajuda a atender aos mais rigorosos requisitos de segurança, conformidade e regulamentação.

Nota

Os cofres também permitem armazenar e gerenciar vários tipos de objetos, como segredos, certificados e chaves de conta de armazenamento, além de chaves criptográficas.

As chaves criptográficas no Cofre da Chave são representadas como objetos JSON Web Key [JWK]. As especificações JavaScript Object Notation (JSON) e JavaScript Object Signing and Encryption (JOSE) são:

• Chave Web JSON (JWK)
• Criptografia da Web JSON (JWE)
• Algoritmos da Web JSON (JWA)
• Assinatura Web JSON (JWS)

As especificações JWK/JWA base também são estendidas para habilitar tipos de chave exclusivos para o Azure Key Vault e implementações de HSM gerenciado.

As chaves HSM nos cofres são protegidas por HSMs; As chaves de software não são protegidas por HSMs.

• As chaves armazenadas em cofres se beneficiam de proteção robusta usando HSM validado pelo FIPS 140. Existem duas plataformas HSM distintas disponíveis: 1, que protege as principais versões com FIPS 140-2 Nível 2, e 2, que protege as chaves com FIPS 140-2 Nível 3 HSMs, dependendo de quando a chave foi criada. Todas as novas chaves e versões de chaves são agora criadas usando a plataforma 2 (exceto a geografia do Reino Unido). Para determinar qual plataforma HSM está protegendo uma versão chave, obtenha a hsmPlatform.
• O HSM gerenciado usa módulos HSM validados pelo FIPS 140-2 Nível 3 para proteger suas chaves. Cada pool de HSM é uma instância isolada de locatário único com seu próprio domínio de segurança, fornecendo isolamento criptográfico completo de todos os outros HSMs que compartilham a mesma infraestrutura de hardware. As chaves HSM gerenciadas são protegidas em pools HSM de locatário único. Você pode importar uma chave RSA, EC e simétrica, em formato flexível ou exportando de um dispositivo HSM compatível. Você também pode gerar chaves em pools de HSM. Quando você importa chaves HSM usando o método descrito na especificação BYOK (traga sua própria chave), ele habilita o material seguro da chave de transporte para pools HSM gerenciados.

Para obter mais informações sobre limites geográficos, consulte Central de Confiabilidade do Microsoft Azure

Principais tipos e métodos de proteção

O Key Vault suporta chaves RSA e EC. O HSM gerenciado suporta RSA, EC e chaves simétricas.

Chaves protegidas por HSM

Tipo de chave	Cofres (apenas SKU Premium)	HSMs gerenciados
EC-HSM: Chave da curva elíptica	Suportado (P-256, P-384, P-521, secp256K1/P-256K)	Suportado (P-256, secp256K1/P-256K, P-384, P-521)
RSA-HSM: chave RSA	Suportado (2048 bits, 3072 bits, 4096 bits)	Suportado (2048 bits, 3072 bits, 4096 bits)
oct-HSM: Chave simétrica	Não suportado	Suportado (128 bits, 192 bits, 256 bits)

Chaves protegidas por software

Tipo de chave	Cofres	HSMs gerenciados
RSA: Chave RSA "protegida por software"	Suportado (2048 bits, 3072 bits, 4096 bits)	Não suportado
EC: Tecla de curva elíptica "protegida por software"	Suportado (P-256, P-384, P-521, secp256K1/P-256K)	Não suportado

Conformidade

Tipo de chave e destino	Conformidade
Chaves protegidas por software (hsmPlatform 0) em cofres	FIPS 140-2 Nível 1
Chaves protegidas hsmPlatform 1 em cofres (Premium SKU)	FIPS 140-2 Level 2
Chaves protegidas hsmPlatform 2 em cofres (Premium SKU)	FIPS 140-2 Nível 3
As chaves no HSM gerenciado são sempre protegidas pelo HSM	FIPS 140-2 Nível 3

Consulte Tipos de chave, algoritmos e operações para obter detalhes sobre cada tipo de chave, algoritmos, operações, atributos e tags.

Cenários de uso

Quando utilizar o	Exemplos
Criptografia de dados do lado do servidor do Azure para provedores de recursos integrados com chaves gerenciadas pelo cliente	- Criptografia do lado do servidor usando chaves gerenciadas pelo cliente no Cofre de Chaves do Azure
Criptografia de dados do lado do cliente	- Criptografia do lado do cliente com o Azure Key Vault
TLS sem chave	- Use as principais bibliotecas de clientes

Próximos passos

• Gerenciamento de chaves no Azure
• Sobre o Key Vault
• Sobre o HSM gerenciado
• Sobre segredos
• Sobre os certificados
• Visão geral da API REST do Key Vault
• Autenticação, solicitações e respostas
• Guia do Programador do Key Vault