你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 HSM 保护的密钥导入 Key Vault

为了提高可靠性,在使用 Azure 密钥保管库时,可以在硬件安全模块 (HSM) 中导入或生成永不离开 HSM 边界的密钥。 这种情况通常被称为自带密钥,简称 BYOK。 Azure Key Vault 使用 HSM 的 nCipher nShield 系列(FIPS 140-2 第 2 级验证)来保护密钥。

此功能不适用于 Azure 中国世纪互联。

注意

有关 Azure 密钥保管库的详细信息,请参阅什么是 Azure 密钥保管库?
如需包括为受 HSM 保护的密钥创建密钥保管库的入门教程,请参阅什么是 Azure 密钥保管库?

支持的 HSM

通过两种不同的方法(具体取决于所使用的 HSM)支持将受 HSM 保护的密钥传输到 Key Vault。 使用下表确定应该对 HSM 使用哪种方法来生成和传输你自己的受 HSM 保护的密钥,以便将其与 Azure Key Vault 一起使用。

供应商名称 供应商类型 支持的 HSM 模型 支持的 HSM 密钥传输方法
Cryptomathic ISV(企业密钥管理系统) 多个 HSM 品牌和型号,包括
  • nCipher
  • Thales
  • Utimaco
有关详细信息,请参阅 Cryptomathic 站点
使用新的 BYOK 方法
Entrust 制造商,
HSM 即服务
  • HSM 的 nShield 系列
  • nShield 即服务
使用新的 BYOK 方法
Fortanix 制造商,
HSM 即服务
  • 自防御密钥管理服务 (SDKMS)
  • Equinix SmartKey
使用新的 BYOK 方法
IBM 制造商 IBM 476x, CryptoExpress 使用新的 BYOK 方法
Marvell 制造商 所有具有以下固件版本的 LiquidSecurity HSM
  • 固件版本 2.0.4 或更高版本
  • 固件版本 3.2 或更高版本
使用新的 BYOK 方法
nCipher 制造商,
HSM 即服务
  • HSM 的 nShield 系列
  • nShield 即服务
方法 1:nCipher BYOK(已弃用)。 2021 年 6 月 30 日之后将不再支持此方法
方法 2:使用新的 BYOK 方法(推荐)
请参阅上面的 Entrust 行
Securosys SA 制造商,
HSM 即服务
Primus HSM 系列,Securosys Clouds HSM 使用新的 BYOK 方法
StorMagic ISV(企业密钥管理系统) 多个 HSM 品牌和型号,包括
  • Utimaco
  • Thales
  • nCipher
请参阅 StorMagic 站点以了解详细信息
使用新的 BYOK 方法
Thales 制造商
  • 固件版本为 7.3 或更高版本的 Luna HSM 7 系列
使用新的 BYOK 方法
Utimaco 制造商,
HSM 即服务
u.trust Anchor, CryptoServer 使用新的 BYOK 方法

后续步骤