Om nycklar
Azure Key Vault innehåller två typer av resurser för att lagra och hantera kryptografiska nycklar. Valv stöder programvaruskyddade och HSM-skyddade nycklar (maskinvarusäkerhetsmodul). Hanterade HSM-datorer stöder endast HSM-skyddade nycklar.
| Resurstyp | Viktiga skyddsmetoder | Bas-URL för dataplansslutpunkt |
|---|---|---|
| Valv | Programvaruskyddad och HSM-skyddad (med Premium SKU) |
https://{vault-name}.vault.azure.net |
| Hanterade HSM:er | HSM-skyddad | https://{hsm-name}.managedhsm.azure.net |
- Valv – Valv ger en billig, lättdistribuerad lösning med flera klientorganisationer, zonmotståndskraftig (där det är tillgängligt), nyckelhanteringslösning med hög tillgänglighet som lämpar sig för de vanligaste scenarierna för molnprogram.
- Hanterade HSM:er – Managed HSM ger en enda klientorganisation, zonmotståndskraftig (där det är tillgängligt), HSM:er med hög tillgänglighet för att lagra och hantera dina kryptografiska nycklar. Passar bäst för program och användningsscenarier som hanterar nycklar med högt värde. Hjälper också till att uppfylla de strängaste kraven på säkerhet, efterlevnad och regelverk.
Kommentar
Med valv kan du också lagra och hantera flera typer av objekt, till exempel hemligheter, certifikat och lagringskontonycklar, utöver kryptografiska nycklar.
Kryptografiska nycklar i Key Vault representeras som JSON-webbnyckel [JWK]-objekt. Specifikationerna JavaScript Object Notation (JSON) och JavaScript Object Signing and Encryption (JOSE) är:
De grundläggande JWK/JWA-specifikationerna utökas också för att aktivera nyckeltyper som är unika för Azure Key Vault- och Managed HSM-implementeringar.
HSM-nycklar i valv är skyddade. Programvarunycklar skyddas inte av HSM:er.
- Nycklar som lagras i valv har ett robust skydd med FIPS 140-verifierad HSM. Det finns två olika HSM-plattformar tillgängliga: 1, som skyddar nyckelversioner med FIPS 140-2 Nivå 2 och 2, som skyddar nycklar med FIPS 140-2 HSM på nivå 3 beroende på när nyckeln skapades. Alla nya nycklar och nyckelversioner skapas nu med plattform 2 (utom uk geo). Om du vill ta reda på vilken HSM-plattform som skyddar en nyckelversion hämtar du hsmPlatform.
- Managed HSM använder FIPS 140-2 Level 3-verifierade HSM-moduler för att skydda dina nycklar. Varje HSM-pool är en isolerad instans med en enda klientorganisation med en egen säkerhetsdomän som ger fullständig kryptografisk isolering från alla andra HSM:er som delar samma maskinvaruinfrastruktur.
Dessa nycklar skyddas i HSM-pooler med en enda klientorganisation. Du kan importera en RSA-, EC- och symmetrisk nyckel i mjuk form eller genom att exportera från en HSM-enhet som stöds. Du kan också generera nycklar i HSM-pooler. När du importerar HSM-nycklar med hjälp av metoden som beskrivs i BYOK-specifikationen (bring your own key) möjliggör det säkert transportnyckelmaterial till hanterade HSM-pooler.
Mer information om geografiska gränser finns i Microsoft Azure Trust Center
Nyckeltyper och skyddsmetoder
Key Vault stöder RSA- och EC-nycklar. Hanterad HSM stöder RSA, EC och symmetriska nycklar.
HSM-skyddade nycklar
| Nyckeltyp | Valv (endast Premium SKU) | Hanterade HSM:er |
|---|---|---|
| EC-HSM: Elliptisk kurvnyckel | Stöds (P-256, P-384, P-521, secp256k1/P-256K) | Stöds (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA-nyckel | Stöds (2048-bitars, 3072-bitars, 4096-bitars) | Stöds (2048-bitars, 3072-bitars, 4096-bitars) |
| oct-HSM: Symmetrisk nyckel | Stöds inte | Stöds (128-bitars, 192-bitars, 256-bitars) |
Programvaruskyddade nycklar
| Nyckeltyp | Valv | Hanterade HSM:er |
|---|---|---|
| RSA: "Programvaruskyddad" RSA-nyckel | Stöds (2048-bitars, 3072-bitars, 4096-bitars) | Stöds inte |
| EC: "Programvaruskyddad" elliptisk kurvnyckel | Stöds (P-256, P-384, P-521, secp256k1/P-256K) | Stöds inte |
Efterlevnad
| Nyckeltyp och mål | Efterlevnad |
|---|---|
| Programvaruskyddade (hsmPlatform 0) nycklar i valv | FIPS 140-2 Nivå 1 |
| hsmPlatform 1 skyddade nycklar i valv (Premium SKU) | FIPS 140-2 nivå 2 |
| hsmPlatform 2 skyddade nycklar i valv (Premium SKU) | FIPS 140-2 nivå 3 |
| Nycklar i Managed HSM är alltid HSM-skyddade | FIPS 140-2 nivå 3 |
Se Nyckeltyper, algoritmer och åtgärder för mer information om varje nyckeltyp, algoritmer, åtgärder, attribut och taggar.
Användningsscenarier
| Användningsområde för | Exempel |
|---|---|
| Datakryptering på Azure-serversidan för integrerade resursprovidrar med kundhanterade nycklar | - Kryptering på serversidan med kundhanterade nycklar i Azure Key Vault |
| Datakryptering på klientsidan | - Kryptering på klientsidan med Azure Key Vault |
| Nyckellös TLS | – Använda nyckelklientbibliotek |