你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

如何迁移关键工作负荷

Azure Key Vault 和 Azure 托管 HSM 不允许导出密钥，以保护密钥材料，并确保无法更改密钥的 HSM 属性。

如果希望密钥高度可移植，最好在受支持的 HSM 中创建密钥并将其导入 Azure Key Vault 或 Azure 托管 HSM。

注释

无导出规则的唯一例外是创建具有特定密钥发布策略的密钥。此策略仅允许将密钥导出到您明确定义的受信任机密计算环境（安全隔离区）。这种有限的导出功能专为特定的安全计算方案设计，与常规用途密钥导出不同。

有几个方案需要迁移关键工作负荷：

切换安全边界，例如在订阅、资源组或所有者之间切换时。
由于给定区域中存在合规性边界或风险而移动区域。
你正在更改为新的产品/服务，例如从 Azure Key Vault 到 Azure 托管 HSM，它提供比 Key Vault Premium 更高的安全性、隔离性和合规性。

下面我们讨论了将工作负载迁移到使用新密钥的几种方法，这些密钥可以迁移到新保管库或新的托管 HSM 中。

使用客户管理的密钥的 Azure 服务

对于使用 Key Vault 中的密钥的大多数工作负荷，将密钥迁移到新位置（不同订阅或区域中的新托管 HSM 或新密钥保管库）的最有效方法是：

如果对 Azure 存储使用客户管理的密钥，可以按照以下步骤迁移到新密钥：

此模式适用于支持客户管理的密钥的许多 Azure 服务。

对于使用 Key Vault 中的密钥直接加密数据的客户端加密或自定义应用程序，此过程有所不同：

创建新的密钥保管库或托管 HSM，并创建新的密钥加密密钥 (KEK)。
使用新密钥重新加密旧密钥加密的任何密钥或数据。（如果密钥保管库中的密钥直接加密数据，可能需要一些时间，因为必须使用新密钥读取、解密和加密所有数据。尽可能使用信封加密，使此类密钥轮换更快。

重新加密数据时，建议使用三级密钥层次结构，这将使未来的 KEK 轮换更容易：1. 存储在 Azure Key Vault 或托管 HSM 中的密钥加密密钥（KEK） 2. 主密钥 3. 从主密钥派生的数据加密密钥

在 Azure 信息保护中迁移租户密钥称为“重新生成密钥”或“密钥轮换”。客户管理的 - AIP 租户密钥生命周期操作提供了关于如何执行此操作的详细说明。

在不再需要使用旧租户密钥保护的内容或文档之前，删除旧租户密钥是不安全的。如果要迁移受新密钥保护的文档，必须：

Azure Key Vault 已更新其 HSM 平台，通过 FIPS 140 级别 3 验证提供改进的安全性。现在，所有新的密钥和密钥版本都使用 HSM 平台 2（英国地理除外）创建。可以通过查看其 hsmPlatform 属性来检查哪些 HSM 平台正在保护密钥。

若要将工作负载转换为受 HSM 平台 2 保护的密钥：

在 HSM 平台 2 上创建新密钥
- 如果已配置密钥轮换策略，则会在下一个计划轮换时自动创建新的密钥版本。
- 如果未配置轮换策略，请手动创建一个新的密钥版本，该版本将自动使用 HSM 平台 2。
不同服务的滚动密钥
- 客户管理的密钥（CMK）：
  - 如果为服务启用了密钥自动轮换，则会在创建时自动应用新密钥。
  - 如果未配置 autorotate，请使用服务的密钥配置设置手动更新服务以使用新密钥。
- Azure 信息保护功能（AIP）:
  - 有关详细迁移步骤，请参阅 AIP 租户密钥迁移部分。
- 自定义应用程序：
  - 按照自定义应用程序指南确保平稳过渡。

过渡到 HSM 平台 2 的好处包括增强的安全性，符合 FIPS 140 级别 3 标准。由于所有新密钥都是在最新平台上自动创建的，因此此转换主要适用于更新现有工作负载以使用较新的密钥版本。