將受 HSM 保護的金鑰匯入 Key Vault

為求保險，當您使用 Azure Key Vault 時，您可以在絕對不會超出 HSM 界限的硬體安全性模組 (HSM) 中匯入或產生金鑰。此案例通常稱為「自備金鑰」(BYOK)。 Azure Key Vault 會使用 FIPS 140 已驗證的 HSM 來保護您的金鑰。

此功能不適用於由 21Vianet 運作的 Microsoft Azure。

注意

如需 Azure 金鑰保存庫的詳細資訊，請參閱什麼是 Azure 金鑰保存庫？
如需入門教學課程 (包括建立受 HSM 保護之金鑰的金鑰保存庫)，請參閱什麼是 Azure Key Vault？。

支援的 HSM

根據您所使用的 HSM，透過兩種不同的方法來支援將受 HSM 保護的金鑰傳輸至 Key Vault。使用下表來判斷應該使用哪一種方法來產生 HSM，然後傳輸您自己的受 HSM 保護金鑰，以與 Azure Key Vault 搭配使用。

廠商名稱	廠商類型	支援的 HSM 模型	支援的 HSM 金鑰傳輸方法
Cryptomathic	ISV (企業金鑰管理系統)	多個 HSM 品牌和型號，包括 nCipher Thales Utimaco 如需詳細資訊，請參閱 Cryptomathic 網站	使用新的 BYOK 方法
Entrust	製造商， HSM 即服務	HSM 的 nShield 系列 nShield 即服務	使用新的 BYOK 方法
Fortanix	製造商， HSM 即服務	自我保護金鑰管理服務 (SDKMS) Equinix SmartKey	使用新的 BYOK 方法
Futurex	製造商， HSM 即服務	CryptoHub CryptoHub Cloud KMES 系列 3	使用新的 BYOK 方法
IBM	製造商	IBM 476x、CryptoExpress	使用新的 BYOK 方法
Marvell	製造商	所有 LiquidSecurity HSM，具有韌體版本 2.0.4 或更新版本韌體版本 3.2 或更新版本	使用新的 BYOK 方法
nCipher	製造商， HSM 即服務	HSM 的 nShield 系列 nShield 即服務	方法1： nCipher BYOK (已淘汰)。 2021 年 6 月 30 日之後將不再支援此方法方法2：使用新的 BYOK 方法 (建議) 請參閱 Entrust 資料列。
Securosys SA	製造商， HSM 即服務	Primus HSM 系列，Securosys Clouds HSM	使用新的 BYOK 方法
StorMagic	ISV (企業金鑰管理系統)	多個 HSM 品牌和型號，包括 Utimaco Thales nCipher 如需詳細資訊，請參閱 StorMagic 網站	使用新的 BYOK 方法
Thales	製造商	Luna HSM 7 系列 (含韌體版本7.3 或更新版本)	使用新的 BYOK 方法
Utimaco	製造商， HSM 即服務	u.trust Anchor、CryptoServer	使用新的 BYOK 方法