你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 中的密钥管理
在 Azure 中,加密密钥可以由平台管理,也可以由客户管理。
平台管理的密钥 (PMK) 是完全由 Azure 生成、存储和管理的加密密钥。 客户不会与 PMK 交互。 例如,用于 Azure 数据静态加密的密钥默认就是 PMK。
另一方面,客户管理的密钥 (CMK) 是由一个或多个客户读取、创建、删除、更新和/或管理的密钥。 存储在客户拥有的密钥保管库或硬件安全模块 (HSM) 中的密钥是 CMK。 创建自己的密钥 (BYOK) 是一种 CMK 方案,在其中,客户将密钥从外部存储位置导入(引入)Azure 密钥管理服务(请参阅 Azure 密钥保管库:创建自己的密钥规范)。
“密钥加密密钥”(KEK) 是一种特定类型的客户管理的密钥。 KEK 是一种主密钥,用于控制对一个或多个本身已加密的加密密钥的访问。
客户管理的密钥可以存储在本地,但更常见的是存储在云密钥管理服务中。
Azure 密钥管理服务
Azure 提供多种用于在云中存储和管理密钥的选项,包括 Azure Key Vault、Azure 托管 HSM、Azure 专用 HSM 和 Azure 付款 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。
若要简要了解各项密钥管理服务并获取有关选择合适的密钥管理解决方案的综合指南,请参阅如何选择正确的密钥管理解决方案。
定价
Azure 密钥保管库标准和高级层按交易计费,对于高级硬件支持的密钥,将按密钥每月收取额外的费用。 托管 HSM、专用 HSM 和付款 HSM 不是按交易收费;它们是始终都在使用的设备,将按固定的小时费率计费。 有关详细定价信息,请参阅密钥保管库定价、专用 HSM 定价和付款 HSM 定价。
服务限制
托管 HSM、专用 HSM 和付款 HSM 提供专用容量。 密钥保管库标准和高级层属于多租户服务并存在限制。 有关服务限制,请参阅密钥保管库服务限制。
静态加密
对于客户管理的密钥,Azure 密钥保管库和 Azure 密钥保管库托管 HSM 提供与 Azure 服务和 Microsoft 365 的集成,这意味着,客户可以使用 Azure 密钥保管库和 Azure 密钥保管库托管 HSM 中其自己的密钥,对存储在这些服务中的数据进行静态加密。 专用 HSM 和付款 HSM 属于“基础结构即服务”服务,不提供与 Azure 服务的集成。 有关使用 Azure 密钥保管库和托管 HSM 进行静态加密的概述,请参阅 Azure 数据静态加密。
API
专用 HSM 和付款 HSM 支持 PKCS#11、JCE/JCA 和 KSP/CNG API,但 Azure 密钥保管库和托管 HSM 则不支持。 Azure 密钥保管库和托管 HSM 使用 Azure 密钥保管库 REST API 并提供 SDK 支持。 有关 Azure 密钥保管库 API 的详细信息,请参阅 Azure 密钥保管库 REST API 参考。