將受 HSM 保護的金鑰匯入 Key Vault
為求保險,當您使用 Azure Key Vault 時,您可以在絕對不會超出 HSM 界限的硬體安全性模組 (HSM) 中匯入或產生金鑰。 此案例通常稱為「自備金鑰」(BYOK)。 Azure 金鑰保存庫 使用 FIPS 140 已驗證的 HSM 來保護密鑰。
此功能不適用於由 21Vianet 運作的 Microsoft Azure。
注意
如需 Azure 金鑰保存庫 的詳細資訊,請參閱什麼是 Azure 金鑰保存庫?
如需入門教學課程,其中包括建立 HSM 保護密鑰的金鑰保存庫,請參閱什麼是 Azure 金鑰保存庫?。
支援的 HSM
視您使用的 HSM 而定,透過兩種不同的方法支援將受 HSM 保護的密鑰傳輸至 金鑰保存庫。 使用此數據表來判斷應該用於 HSM 產生的方法,然後傳輸您自己的受 HSM 保護的密鑰,以搭配 Azure 金鑰保存庫 使用。
| 廠商名稱 | 廠商類型 | 支援的 HSM 模型 | 支援的 HSM 金鑰傳輸方法 |
|---|---|---|---|
| Cryptomathic | ISV (企業金鑰管理系統) | 多個 HSM 品牌和型號,包括
|
使用新的 BYOK 方法 |
| Entrust | 製造商, HSM 即服務 |
|
使用新的 BYOK 方法 |
| Fortanix | 製造商, HSM 即服務 |
|
使用新的 BYOK 方法 |
| IBM | 製造商 | IBM 476x、CryptoExpress | 使用新的 BYOK 方法 |
| Marvell | 製造商 | 所有 LiquidSecurity HSM,具有
|
使用新的 BYOK 方法 |
| nCipher | 製造商, HSM 即服務 |
|
方法 1:nCipher BYOK (已淘汰)。 在 2021 年 6 月 30 日之後 ,不支援此方法 方法 2:使用新的 BYOK 方法 (建議) 請參閱 Entrust 數據列。 |
| Securosys SA | 製造商, HSM 即服務 |
Primus HSM 系列,Securosys Clouds HSM | 使用新的 BYOK 方法 |
| StorMagic | ISV (企業金鑰管理系統) | 多個 HSM 品牌和型號,包括
|
使用新的 BYOK 方法 |
| Thales | 製造商 |
|
使用新的 BYOK 方法 |
| Utimaco | 製造商, HSM 即服務 |
u.trust Anchor、CryptoServer | 使用新的 BYOK 方法 |
下一步
- 檢閱 金鑰保存庫 安全性概觀,以確保密鑰的安全性、持久性和監視。
- 如需新 BYOK 方法的完整描述,請參閱 BYOK 規格