共用方式為


將受 HSM 保護的金鑰匯入 Key Vault

為求保險,當您使用 Azure Key Vault 時,您可以在絕對不會超出 HSM 界限的硬體安全性模組 (HSM) 中匯入或產生金鑰。 此案例通常稱為「自備金鑰」(BYOK)。 Azure Key Vault 會使用 FIPS 140 已驗證的 HSM 來保護您的金鑰。

此功能不適用於由 21Vianet 運作的 Microsoft Azure。

注意

如需 Azure 金鑰保存庫的詳細資訊,請參閱 什麼是 Azure 金鑰保存庫?
如需入門教學課程 (包括建立受 HSM 保護之金鑰的金鑰保存庫),請參閱什麼是 Azure Key Vault?

支援的 HSM

根據您所使用的 HSM,透過兩種不同的方法來支援將受 HSM 保護的金鑰傳輸至 Key Vault。 使用下表來判斷應該使用哪一種方法來產生 HSM,然後傳輸您自己的受 HSM 保護金鑰,以與 Azure Key Vault 搭配使用。

廠商名稱 廠商類型 支援的 HSM 模型 支援的 HSM 金鑰傳輸方法
Cryptomathic ISV (企業金鑰管理系統) 多個 HSM 品牌和型號,包括
  • nCipher
  • Thales
  • Utimaco
如需詳細資訊,請參閱 Cryptomathic 網站
使用新的 BYOK 方法
Entrust 製造商,
HSM 即服務
  • HSM 的 nShield 系列
  • nShield 即服務
使用新的 BYOK 方法
Fortanix 製造商,
HSM 即服務
  • 自我保護金鑰管理服務 (SDKMS)
  • Equinix SmartKey
使用新的 BYOK 方法
Futurex 製造商,
HSM 即服務
  • CryptoHub
  • CryptoHub Cloud
  • KMES 系列 3
使用新的 BYOK 方法
IBM 製造商 IBM 476x、CryptoExpress 使用新的 BYOK 方法
Marvell 製造商 所有 LiquidSecurity HSM,具有
  • 韌體版本 2.0.4 或更新版本
  • 韌體版本 3.2 或更新版本
使用新的 BYOK 方法
nCipher 製造商,
HSM 即服務
  • HSM 的 nShield 系列
  • nShield 即服務
方法1: nCipher BYOK (已淘汰)。 2021 年 6 月 30 日之後將不再支援此方法
方法2: 使用新的 BYOK 方法 (建議)
請參閱 Entrust 資料列。
Securosys SA 製造商,
HSM 即服務
Primus HSM 系列,Securosys Clouds HSM 使用新的 BYOK 方法
StorMagic ISV (企業金鑰管理系統) 多個 HSM 品牌和型號,包括
  • Utimaco
  • Thales
  • nCipher
如需詳細資訊,請參閱 StorMagic 網站
使用新的 BYOK 方法
Thales 製造商
  • Luna HSM 7 系列 (含韌體版本7.3 或更新版本)
使用新的 BYOK 方法
Utimaco 製造商,
HSM 即服務
u.trust Anchor、CryptoServer 使用新的 BYOK 方法

下一步