Dela via


Om nycklar

Azure Key Vault innehåller två typer av resurser för att lagra och hantera kryptografiska nycklar. Valv stöder programvaruskyddade och HSM-skyddade nycklar (maskinvarusäkerhetsmodul). Hanterade HSM-datorer stöder endast HSM-skyddade nycklar.

Resurstyp Viktiga skyddsmetoder Bas-URL för dataplansslutpunkt
Valv Programvaruskyddad och HSM-skyddad (HSM-nyckeltyper i Premium SKU) https://{vault-name}.vault.azure.net
Hanterade HSM:er HSM-skyddad https://{hsm-name}.managedhsm.azure.net
  • Valv – Valv ger en billig, lättdistribuerad lösning med flera klientorganisationer, zonmotståndskraftig (där det är tillgängligt), nyckelhanteringslösning med hög tillgänglighet som lämpar sig för de vanligaste scenarierna för molnprogram.
  • Hanterade HSM:er – Managed HSM tillhandahåller HSM med enkel klientorganisation med hög tillgänglighet för att lagra och hantera dina kryptografiska nycklar. Passar bäst för program och användningsscenarier som hanterar nycklar med högt värde. Hjälper också till att uppfylla de strängaste kraven på säkerhet, efterlevnad och regelverk.

Kommentar

Med valv kan du också lagra och hantera flera typer av objekt, till exempel hemligheter, certifikat och lagringskontonycklar, utöver kryptografiska nycklar.

Kryptografiska nycklar i Key Vault representeras som JSON-webbnyckel [JWK]-objekt. Specifikationerna JavaScript Object Notation (JSON) och JavaScript Object Signing and Encryption (JOSE) är:

De grundläggande JWK/JWA-specifikationerna utökas också för att aktivera nyckeltyper som är unika för Azure Key Vault- och Managed HSM-implementeringar.

HSM-nycklar i valv skyddas av HSM:er. Programvarunycklar skyddas inte av HSM:er.

  • Nycklar som lagras i valv har ett robust skydd med FIPS 140-verifierad HSM. Det finns två olika HSM-plattformar tillgängliga: 1, som skyddar nyckelversioner med FIPS 140-2 Nivå 2 och 2, som skyddar nycklar med FIPS 140-2 HSM på nivå 3 beroende på när nyckeln skapades. Alla nya nycklar och nyckelversioner skapas nu med plattform 2 (utom uk geo). Om du vill ta reda på vilken HSM-plattform som skyddar en nyckelversion hämtar du hsmPlatform.
  • Managed HSM använder FIPS 140-2 Level 3-verifierade HSM-moduler för att skydda dina nycklar. Varje HSM-pool är en isolerad instans med en enda klientorganisation med en egen säkerhetsdomän som ger fullständig kryptografisk isolering från alla andra HSM:er som delar samma maskinvaruinfrastruktur. Hanterade HSM-nycklar skyddas i HSM-pooler med en enda klientorganisation. Du kan importera en RSA-, EC- och symmetrisk nyckel i mjuk form eller genom att exportera från en HSM-enhet som stöds. Du kan också generera nycklar i HSM-pooler. När du importerar HSM-nycklar med hjälp av metoden som beskrivs i BYOK-specifikationen (bring your own key) möjliggör det säkert transportnyckelmaterial till hanterade HSM-pooler.

Mer information om geografiska gränser finns i Microsoft Azure Trust Center

Nyckeltyper och skyddsmetoder

Key Vault stöder RSA- och EC-nycklar. Hanterad HSM stöder RSA, EC och symmetriska nycklar.

HSM-skyddade nycklar

Nyckeltyp Valv (endast Premium SKU) Hanterade HSM:er
EC-HSM: Elliptisk kurvnyckel Stöds (P-256, P-384, P-521, secp256k1/P-256K) Stöds (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: RSA-nyckel Stöds (2048-bitars, 3072-bitars, 4096-bitars) Stöds (2048-bitars, 3072-bitars, 4096-bitars)
oct-HSM: Symmetrisk nyckel Stöds inte Stöds (128-bitars, 192-bitars, 256-bitars)

Programvaruskyddade nycklar

Nyckeltyp Valv Hanterade HSM:er
RSA: "Programvaruskyddad" RSA-nyckel Stöds (2048-bitars, 3072-bitars, 4096-bitars) Stöds inte
EC: "Programvaruskyddad" elliptisk kurvnyckel Stöds (P-256, P-384, P-521, secp256k1/P-256K) Stöds inte

Regelefterlevnad

Nyckeltyp och mål Regelefterlevnad
Programvaruskyddade (hsmPlatform 0) nycklar i valv FIPS 140-2 Nivå 1
hsmPlatform 1 skyddade nycklar i valv (Premium SKU) FIPS 140-2 nivå 2
hsmPlatform 2 skyddade nycklar i valv (Premium SKU) FIPS 140-2 nivå 3
Nycklar i Managed HSM är alltid HSM-skyddade FIPS 140-2 nivå 3

Se Nyckeltyper, algoritmer och åtgärder för mer information om varje nyckeltyp, algoritmer, åtgärder, attribut och taggar.

Användningsscenarier

Användningsområde för Exempel
Datakryptering på Azure-serversidan för integrerade resursprovidrar med kundhanterade nycklar - Kryptering på serversidan med kundhanterade nycklar i Azure Key Vault
Datakryptering på klientsidan - Kryptering på klientsidan med Azure Key Vault
Nyckellös TLS – Använda nyckelklientbibliotek

Nästa steg