HSM korumalı anahtarları Key Vault'a aktarma (BYOK)

Azure Key Vault kullanırken daha fazla güvence için bir donanım güvenlik modülünde (HSM) bir anahtarı içeri aktarabilir veya oluşturabilirsiniz; anahtarı HSM sınırından asla ayrılmaz. Bu senaryo genellikle kendi anahtarını getir (KAG) olarak adlandırılır. Key Vault, anahtarlarınızı korumak için FIPS 140 doğrulanmış HSM'leri kullanır.

Azure Key Vault ile kullanmak üzere kendi HSM korumalı anahtarlarınızı planlamanıza, oluşturmanıza ve aktarmanıza yardımcı olması için bu makaledeki bilgileri kullanın.

Not

Bu işlevsellik, 21Vianet tarafından sağlanan Microsoft Azure'da kullanılamaz.

Bu içeri aktarma yöntemi yalnızca desteklenen HSM'ler için kullanılabilir.

Daha fazla bilgi ve Key Vault kullanmaya başlama öğreticisi (HSM korumalı anahtarlar için anahtar kasası oluşturma dahil) için bkz . Azure Key Vault nedir?.

Genel bakış

Burada işleme genel bir bakış sağlanır. Tamamlanması gereken belirli adımlar makalenin devamında açıklanmıştır.

• Key Vault'ta bir anahtar oluşturun (Anahtar Değişim Anahtarı (KEK) olarak adlandırılır). KEK, yalnızca import anahtar işlemine sahip bir RSA-HSM anahtarı olmalıdır. Yalnızca Key Vault Premium ve Yönetilen HSM, RSA-HSM anahtarlarını destekler.
• KEK ortak anahtarını .pem dosyası olarak indirin.
• KEK ortak anahtarını şirket içi HSM'ye bağlı çevrimdışı bir bilgisayara aktarın.
• Çevrimdışı bilgisayarda, bir BYOK dosyası oluşturmak için HSM satıcınız tarafından sağlanan BYOK aracını kullanın.
• Hedef anahtar, Key Vault HSM'ye aktarılana kadar şifrelenmiş olarak kalan bir KEK ile şifrelenir. Anahtarınızın yalnızca şifrelenmiş sürümü şirket içi HSM'den ayrılır.
• Key Vault HSM içinde oluşturulan KEK dışarı aktarılamaz. HSM'ler, Key Vault HSM'nin dışında KEK'nin net bir sürümünün bulunmaması kuralını zorlar.
• KEK, hedef anahtarın içeri aktarılacağı aynı anahtar kasasında olmalıdır.
• BYOK dosyası Key Vault'a yüklendiğinde, Key Vault HSM hedef anahtar malzemesinin şifresini çözmek ve HSM anahtarı olarak içeri aktarmak için KEK özel anahtarını kullanır. Bu işlem tamamen bir Key Vault HSM içinde gerçekleşir. Hedef anahtar her zaman HSM koruma sınırında kalır.

Önkoşullar

Aşağıdaki tabloda, Azure Key Vault'ta KAG'yi kullanmak için önkoşullar listelanmaktadır:

Gereksinim	Daha Fazla Bilgi
Bir Azure aboneliği	Azure Key Vault'ta anahtar kasası oluşturmak için bir Azure aboneliğine ihtiyacınız vardır. Ücretsiz deneme için kaydolun.
HSM korumalı anahtarları içeri aktarmak için Key Vault Premium veya Yönetilen HSM	Azure Key Vault'taki hizmet katmanları ve özellikleri hakkında daha fazla bilgi için bkz . Key Vault Fiyatlandırması.
Desteklenen HSM'ler listesinden bir HSM ve bir KAG aracı ve HSM satıcınız tarafından sağlanan yönergeler	HSM için izinlere ve HSM'nizi kullanma hakkında temel bilgilere sahip olmanız gerekir. Bkz. Desteklenen HSM'ler.
Azure CLI sürüm 2.1.0 veya üzeri	Bkz . Azure CLI'yi yükleme.

Desteklenen HSM'ler

Satıcı adı	Satıcı Türü	Desteklenen HSM modelleri	Daha Fazla Bilgi
Şifreleme	ISV (Kurumsal Anahtar Yönetim Sistemi)	Birden çok HSM markası ve modeli nCipher Thales Utimaco Ayrıntılar için bkz . Cryptomathic sitesi
Emanet	Üretici Hizmet olarak HSM	nShield HSM ailesi hizmet olarak nShield	nCipher new BYOK tool and documentation
Fortanix	Üretici Hizmet olarak HSM	Kendini Savunan Anahtar Yönetim Merkezi (SDKMS) Equinix SmartKey	BYOK için SDKMS anahtarlarını Bulut Sağlayıcılarına aktarma - Azure Key Vault
IBM	Üretici	IBM 476x, CryptoExpress	IBM Enterprise Key Management Foundation
Marvell	Üretici	Tüm LiquidSecurity HSM'leri Üretici yazılımı sürümü 2.0.4 veya üzeri Üretici yazılımı sürüm 3.2 veya üzeri	Marvell BYOK aracı ve belgeleri
nCipher	Üretici Hizmet olarak HSM	nShield HSM ailesi hizmet olarak nShield	nCipher new BYOK tool and documentation
Securosys SA	Üretici Hizmet olarak HSM	Primus HSM ailesi, Securosys Clouds HSM	Primus BYOK aracı ve belgeleri
StorMagic	ISV (Kurumsal Anahtar Yönetim Sistemi)	Birden çok HSM markası ve modeli Utimaco Thales nCipher Ayrıntılar için StorMagic sitesine bakın	SvKMS ve Azure Key Vault BYOK
Thales	Üretici	Üretici yazılımı sürümü 7.3 veya daha yeni olan Luna HSM 7 ailesi	Luna BYOK aracı ve belgeleri
Utimaco	Üretici Hizmet olarak HSM	u.trust Anchor, CryptoServer	Utimaco BYOK aracı ve Tümleştirme kılavuzu

Desteklenen anahtar türleri

Anahtar adı	Anahtar türü	Anahtar boyutu/eğrisi	Kaynak	Açıklama
Anahtar Değişim Anahtarı (KEK)	RSA	2.048 bit 3.072 bit 4.096 bit	Azure Key Vault HSM	Azure Key Vault'ta oluşturulan HSM destekli RSA anahtar çifti
Hedef anahtar
	RSA	2.048 bit 3.072 bit 4.096 bit	Satıcı HSM	Azure Key Vault HSM'ye aktarılacak anahtar
	EC	P-256 P-384 P-521	Satıcı HSM	Azure Key Vault HSM'ye aktarılacak anahtar

Anahtarınızı oluşturma ve Key Vault Premium HSM veya Yönetilen HSM'ye aktarma

Anahtarınızı oluşturmak ve Key Vault Premium veya Yönetilen HSM'ye aktarmak için:

• 1. Adım: KEK oluşturma
• 2. Adım: KEK ortak anahtarını indirme
• 3. Adım: Anahtarınızı oluşturma ve aktarım için hazırlama
• 4. Adım: Anahtarınızı Azure Key Vault'a aktarma

KEK oluşturma

KEK, Key Vault Premium veya Yönetilen HSM'de oluşturulan bir RSA anahtarıdır. KEK, içeri aktarmak istediğiniz anahtarı ( hedef anahtar) şifrelemek için kullanılır.

KEK şu şekilde olmalıdır:

• RSA-HSM anahtarı (2.048 bit; 3.072 bit; veya 4.096 bit)
• Hedef anahtarı içeri aktarmayı planladığınız aynı anahtar kasasında oluşturulur
• İzin verilen anahtar işlemleri olarak ayarlanmış şekilde oluşturuldu import

Not

KEK'nin izin verilen tek anahtar işlemi olarak 'içeri aktarma' olması gerekir. 'import' diğer tüm anahtar işlemleriyle birbirini dışlar.

anahtar işlemleri olarak ayarlanmış importbir KEK oluşturmak için az keyvault key create komutunu kullanın. Aşağıdaki komuttan döndürülen anahtar tanımlayıcısını (kid) kaydedin. (3. Adımda değerini kullanacaksınızkid.)

Azure CLI

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Yönetilen HSM için:

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Azure PowerShell

Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'KEKforBYOK' -Destination 'HSM' -Size 4096 -KeyOps 'import'

Yönetilen HSM için:

Add-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -Name 'KEKforBYOK' -Destination 'HSM' -Size 4096 -KeyOps 'import'

KEK ortak anahtarını indirme

KEK ortak anahtarını bir .pem dosyasına indirmek için az keyvault key download komutunu kullanın. İçeri aktardığınız hedef anahtar KEK ortak anahtarı kullanılarak şifrelenir.

Azure CLI

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Yönetilen HSM için:

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Azure PowerShell

Get-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -KeyName 'KEKforBYOK' -OutFile 'KEKforBYOK.publickey.pem'

Yönetilen HSM için

Get-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -KeyName 'KEKforBYOK' -OutFile 'KEKforBYOK.publickey.pem'

KEKforBYOK.publickey.pem dosyasını çevrimdışı bilgisayarınıza aktarın. Sonraki adımda bu dosyaya ihtiyacınız olacak.

Anahtarınızı oluşturma ve aktarım için hazırlama

KAG aracını indirip yüklemek için HSM satıcınızın belgelerine bakın. Hedef anahtar oluşturmak için HSM satıcınızın yönergelerini izleyin ve ardından bir anahtar aktarım paketi (BYOK dosyası) oluşturun. BYOK aracı, 1. Adım'dan ve 2. Adımda indirdiğiniz KEKforBYOK.publickey.pem dosyasını kullanarak kid bir BYOK dosyasında şifrelenmiş bir hedef anahtar oluşturur.

BYOK dosyasını bağlı bilgisayarınıza aktarın.

Not

RSA 1.024 bit anahtarları içeri aktarma desteklenmez. P-256K eğrisi ile Eliptik Eğri anahtarını içeri aktarma desteklenir.

Bilinen sorun: Luna HSM'lerinden RSA 4K hedef anahtarını içeri aktarmak yalnızca üretici yazılımı 7.4.0 veya daha yeni sürümlerle desteklenir.

Anahtarınızı Azure Key Vault'a aktarma

Anahtar içeri aktarma işlemini tamamlamak için, anahtar aktarım paketini (byok dosyası) bağlantısı kesilmiş bilgisayarınızdan İnternet'e bağlı bilgisayara aktarın. BYOK dosyasını Key Vault HSM'ye yüklemek için az keyvault key import komutunu kullanın.

Bir RSA anahtarını içeri aktarmak için aşağıdaki komutu kullanın. --kty parametresi isteğe bağlıdır ve varsayılan olarak 'RSA-HSM' olarak ayarlanır.

Azure CLI

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Yönetilen HSM için

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Azure PowerShell

Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Yönetilen HSM için

Add-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Ec anahtarını içeri aktarmak için anahtar türünü ve eğri adını belirtmeniz gerekir.

Azure CLI

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Yönetilen HSM için

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Azure PowerShell

Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyType EC -CurveName P-256  -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Yönetilen HSM için

Add-AzKeyVaultKey -HsmName 'ContosoKeyVaultHSM' -KeyName 'ContosoFirstHSMkey' -KeyType EC -CurveName P-256  -KeyFilePath 'KeyTransferPackage-ContosoFirstHSMkey.byok'

Karşıya yükleme başarılı olursa, Azure CLI içeri aktarılan anahtarın özelliklerini görüntüler.

Sonraki adımlar

Artık bu HSM korumalı anahtarı anahtar kasanızda kullanabilirsiniz. Daha fazla bilgi için bu fiyat ve özellik karşılaştırması konusuna bakın.