關於金鑰
Azure Key Vault 提供兩種資源類型,以儲存和管理密碼編譯金鑰。 保存庫支援受軟體保護和 HSM 保護 (硬體安全模組) 的金鑰。 受控 HSM 僅支援受 HSM 保護的金鑰。
資源類型 | 金鑰保護方法 | 資料平面端點基底 URL |
---|---|---|
保存庫 | 受軟體保護和受 HSM 保護 (進階 SKU 中的 HSM 金鑰類型) | https://{vault-name}.vault.azure.net |
受控 HSM | 受 HSM 保護 | https://{hsm-name}.managedhsm.azure.net |
- 保存庫 - 保存庫提供低成本、易於部署、多租用戶、區域復原 (如果有的話)、高可用性金鑰管理解決方案,適用於最常見的雲端應用程式案例。
- 受控 HSM - 受控 HSM 提供單一租用戶、高可用性 HSM 來儲存和管理您的密碼編譯金鑰。 最適合處理高價值金鑰的應用程式和使用案例。 也有助於符合最嚴格的安全性、合規性和法規需求。
注意
除了密碼編譯金鑰之外,保存庫也可讓您儲存和管理數種類型的物件,例如祕密、憑證和儲存體帳戶金鑰。
Key Vault 中的密碼編譯金鑰會表示為 JSON Web 金鑰 [JWK] 物件。 JavaScript 物件標記法 (JSON) 和 JavaScript 物件簽章與加密 (JOSE) 規格如下:
基底 JWK/JWA 規格也可延伸,讓Azure Key Vault 和受控 HSM 實作使用特有的金鑰類型。
HSM 會保護保存庫中的 HSM 金鑰 ;HSM 不會保護軟體金鑰。
- 儲存在保存庫中的金鑰可受益於使用 FIPS 140 已驗證 HSM 的強固保護。 有兩個不同的 HSM 平台可供使用:1. 它會使用 FIPS 140-2 層級 2 和 2. 保護金鑰版本,其根據金鑰的建立時間,使用 FIPS 140-2 層級 3 HSM 來保護金鑰。 所有新的金鑰和金鑰版本現在都是使用平台 2 建立的 (英國地區除外)。 若要判斷哪個 HSM 平台正在保護金鑰版本,請取得其 hsmPlatform。
- 受控 HSM 使用 FIPS 140-2 層級 3 的已驗證 HSM 模組來保護您的金鑰。 各 HSM 集區皆為一個獨立的單一租用戶執行個體,具有自己的安全性網域,提供完整的密碼編譯隔離環境,可與其他所有 HSM 集區共用相同的硬體基礎結構。 受控 HSM 金鑰在單租戶 HSM 集區中受到保護。 您可以匯入軟體形式的 RSA、EC 和對稱金鑰,或從支援的 HSM 裝置匯出。 您也可以在 HSM 集區中產生金鑰。 當您使用 BYOK (攜帶您自己的金鑰) 規格中所述方法匯入 HSM 金鑰時,會對受控 HSM 集區啟用安全傳輸金鑰材質。
如需地理界限的詳細資訊,請參閱 Microsoft Azure 信任中心
金鑰類型和保護方法
Key Vault 支援 RSA 和 EC 金鑰。 受控 HSM 支援 RSA、EC 和對稱金鑰。
HSM 保護的金鑰
金鑰類型 | 保存庫 (僅限進階 SKU) | 受控 HSM |
---|---|---|
EC-HSM: 橢圓曲線索引鍵 | 支援 (P-256、P-384、P-521、secp256k1/P-256K) | 支援 (P-256, secp256k1/P-256K, P-384, P-521) |
RSA-HSM: RSA 金鑰 | 支援的 (2048 位元、3072 位元、4096 位元) | 支援的 (2048 位元、3072 位元、4096 位元) |
oct-HSM:對稱金鑰 | 不支援 | 支援的 (128 位元、192 位元、256 位元) |
受軟體保護的金鑰
金鑰類型 | 保存庫 | 受控 HSM |
---|---|---|
RSA:「受軟體保護」的 RSA 金鑰 | 支援的 (2048 位元、3072 位元、4096 位元) | 不支援 |
EC:「受軟體保護」的橢圓曲線金鑰 | 支援 (P-256、P-384、P-521、secp256k1/P-256K) | 不支援 |
法規遵循
金鑰類型和目的地 | 法規遵循 |
---|---|
保存庫中受軟體保護的 (hsmPlatform 0) 金鑰 | FIPS 140-2 層級 1 |
保存庫中的 hsmPlatform 1 受保護的金鑰 (進階 SKU) | FIPS 140-2 層級 2 |
保存庫中的 hsmPlatform 2 受保護的金鑰 (進階 SKU) | FIPS 140-2 層級 3 |
受控 HSM 中的金鑰一律受到 HSM 保護 | FIPS 140-2 層級 3 |
如需各金鑰類型、演算法、作業、屬性和標籤的詳細資訊,請參閱金鑰類型、演算法和作業。
使用案例
使用時機 | 範例 |
---|---|
針對整合式資源提供者,透過客戶管理的金鑰進行 Azure 伺服器端資料加密 | - 在 Azure Key Vault 中使用客戶管理的金鑰進行伺服器端加密 |
用戶端資料加密 | - Azure Key Vault 的用戶端加密 |
無金鑰 TLS | - 使用金鑰用戶端程式庫 |