關於金鑰

Azure 金鑰保存庫提供兩種類型的資源來儲存和管理密碼編譯密鑰。保存庫支援受軟體保護和受 HSM 保護的金鑰（硬體安全性模組）金鑰。受控 HSM 僅支援受 HSM 保護的金鑰。

資源類型	金鑰保護方法	數據平面端點基底 URL
金庫	軟體保護及受 HSM 保護（具有進階版 SKU）	https://{vault-name}.vault.azure.net
受控 HSM	受 HSM 保護	https://{hsm-name}.managedhsm.azure.net

保存庫 - 保存庫提供低成本、易於部署、多租用戶、區域復原 (如果有的話)、高可用性金鑰管理解決方案，適用於最常見的雲端應用程式案例。
受控 HSM - 受控 HSM 提供單一租用戶、區域復原 (如果有的話)、高可用性 HSM 來儲存和管理您的密碼編譯金鑰。最適合處理高價值索引鍵的應用程式和使用案例。也有助於符合最嚴格的安全性、合規性和法規需求。

注意

除了密碼編譯金鑰之外，保存庫也可讓您儲存和管理數種類型的物件，例如祕密、憑證和儲存體帳戶金鑰。

金鑰保存庫中的密碼編譯密鑰會以 JSON Web 金鑰 [JWK] 物件表示。 JavaScript 物件表示法（JSON）和 JavaScript 對象簽署和加密（JOSE）規格如下：

基底 JWK/JWA 規格也會擴充，以啟用 Azure 金鑰保存庫和受控 HSM 實作中唯一的密鑰類型。

保存庫中的 HSM 金鑰受到保護;軟體金鑰不受 HSM 保護。

儲存在保存庫中的金鑰受益於使用 FIPS 140 已驗證 HSM 的強固保護。有兩個不同的 HSM 平臺可用：1，使用 FIPS 140-2 層級 2 保護密鑰版本，以及 2，根據金鑰的建立時間，使用 FIPS 140-2 層級 3 HSM 保護密鑰。所有新的金鑰和金鑰版本現在都是使用平臺 2 建立的（英國地區除外）。若要判斷哪個 HSM 平臺正在保護密鑰版本，請取得其 hsmPlatform。
受控 HSM 使用 FIPS 140-2 層級 3 的已驗證 HSM 模組來保護您的金鑰。每個 HSM 集區都是隔離的單一租用戶實例，其本身的安全性網域可提供與共用相同硬體基礎結構之所有其他 HSM 的完整密碼編譯隔離。

這些金鑰會在單一租使用者 HSM 集區中受到保護。您可以透過軟式形式匯入 RSA、EC 和對稱金鑰，或從支援的 HSM 裝置導出。您也可以在 HSM 集區中產生金鑰。當您使用 BYOK（攜帶您自己的金鑰）規格中所述的方法匯入 HSM 金鑰時，它會將安全的傳輸金鑰材料匯入受控 HSM 集區。

如需地理界限的詳細資訊，請參閱 Microsoft Azure 信任中心

金鑰類型和保護方法

金鑰保存庫支援 RSA 和 EC 金鑰。受控 HSM 支援 RSA、EC 和對稱金鑰。

金鑰類型和目的地	法規遵循
保存庫中受軟體保護的（hsmPlatform 0）密鑰	FIPS 140-2 層級 1
保存庫中的 hsmPlatform 1 受保護的金鑰（進階版 SKU）	FIPS 140-2 Level 2
保存庫中的 hsmPlatform 2 受保護金鑰（進階版 SKU）	FIPS 140-2 層級 3
受控 HSM 中的金鑰一律受到 HSM 保護	FIPS 140-2 層級 3

如需每個金鑰類型、演算法、作業、屬性和標記的詳細資訊，請參閱金鑰類型、演算法和作業。

使用時機	範例
使用客戶管理的金鑰進行整合式資源提供者的 Azure 伺服器端數據加密	- 在 Azure 金鑰保存庫中使用客戶自控金鑰的伺服器端加密
用戶端數據加密	- 使用 Azure 金鑰保存庫進行用戶端加密
無金鑰 TLS	- 使用金鑰客戶端連結庫