培训
认证
Microsoft Certified: Azure for SAP Workloads Specialty - Certifications
在利用 Azure 资源的同时,演示在 Microsoft Azure 上规划、迁移和操作 SAP 解决方案。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 HSM 保护的密钥导入 Key Vault
为了提高可靠性,在使用 Azure 密钥保管库时,可以在硬件安全模块 (HSM) 中导入或生成永不离开 HSM 边界的密钥。 这种情况通常被称为自带密钥,简称 BYOK。 Azure Key Vault 使用 FIPS 140 验证 HSM 来保护密钥。
此功能不适用于由 21Vianet 运营的 Microsoft Azure。
备注
有关 Azure 密钥保管库的详细信息,请参阅什么是 Azure 密钥保管库?
如需包括为受 HSM 保护的密钥创建密钥保管库的入门教程,请参阅什么是 Azure 密钥保管库?。
通过两种不同的方法(具体取决于所使用的 HSM)支持将受 HSM 保护的密钥传输到 Key Vault。 使用此表确定应该对 HSM 使用哪种方法来生成和传输你自己的受 HSM 保护的密钥,以便将其与 Azure Key Vault 一起使用。
| 供应商名称 | 供应商类型 | 支持的 HSM 模型 | 支持的 HSM 密钥传输方法 |
|---|---|---|---|
| Cryptomathic | ISV(企业密钥管理系统) | 多个 HSM 品牌和型号,包括
|
使用新的 BYOK 方法 |
| Entrust | 制造商, HSM 即服务 |
|
使用新的 BYOK 方法 |
| Fortanix | 制造商, HSM 即服务 |
|
使用新的 BYOK 方法 |
| Futurex | 制造商, HSM 即服务 |
|
使用新的 BYOK 方法 |
| IBM | 制造商 | IBM 476x, CryptoExpress | 使用新的 BYOK 方法 |
| Marvell | 制造商 | 所有具有以下固件版本的 LiquidSecurity HSM
|
使用新的 BYOK 方法 |
| nCipher | 制造商, HSM 即服务 |
|
方法 1:nCipher BYOK(已弃用)。 2021 年 6 月 30 日之后将不再支持此方法 方法 2:使用新的 BYOK 方法(推荐) 请参阅“Entrust”行。 |
| Securosys SA | 制造商, HSM 即服务 |
Primus HSM 系列,Securosys Clouds HSM | 使用新的 BYOK 方法 |
| StorMagic | ISV(企业密钥管理系统) | 多个 HSM 品牌和型号,包括
|
使用新的 BYOK 方法 |
| Thales | 制造商 |
|
使用新的 BYOK 方法 |
| Utimaco | 制造商, HSM 即服务 |
u.trust Anchor, CryptoServer | 使用新的 BYOK 方法 |
- 查看 Key Vault 安全性概述,确保密钥的安全性、持久性和监视性。
- 有关新的 BYOK 方法的完整说明,请参阅 BYOK 规范
其他资源
文档
-
如何为 Azure Key Vault 托管 HSM 生成和传输受 HSM 保护的密钥 - Azure Key Vault
这篇文章可帮助你规划、生成并传输自己的受 HSM 保护的密钥,以便与托管 HSM 一起使用。 也称为创建自己的密钥 (BYOK)。
-
大致了解 Azure 密钥保管库托管 HSM 安全域,这是恢复托管 HSM 所必须具备的一组项目。
-
大致了解可帮助客户满足 Azure Key Vault 托管 HSM 中的合规性要求的保护措施和技术措施。