在 Azure 中,加密金鑰可以是平台代控或客戶自控。
平台代控金鑰 (PMK) 是由 Azure 產生、儲存且完全管理的加密金鑰。 客戶不會與 PMK 互動。 例如,用於 Azure 資料待用加密的金鑰預設為 PMK。
另一方面,客戶自控金鑰 (CMK) 是可由一或多個客戶讀取、建立、刪除、更新和/或管理的金鑰。 儲存在客戶自有金鑰保存庫或硬體安全模組 (HSM) 中的金鑰是 CMK。 攜帶您自己的金鑰 (BYOK) 是 CMK 案例,其中客戶會將金鑰從外部儲存位置匯入 (帶入) Azure 金鑰管理服務 (請參閱 Azure Key Vault:攜帶您自己的金鑰規格 (機器翻譯))。
有一種特定類型的客戶自控金鑰是「金鑰加密金鑰」(KEK)。 KEK 是主要金鑰,可控制對一或多個本身加密之加密金鑰的存取。
客戶自控金鑰可以儲存在內部部署或更常見的雲端金鑰管理服務中。
Azure 金鑰管理服務
Azure 提供數個選項來儲存和管理雲端中的密鑰,包括 Azure Key Vault、Azure 受控 HSM、Azure 雲端 HSM 預覽版、Azure 專用 HSM 和 Azure 付款 HSM。 這些選項在 FIPS 合規性層級、管理負擔和預定應用程式方面有所不同。
如需每個金鑰管理服務的概觀,以及選擇正確金鑰管理解決方案的完整指南,請參閱如何選擇正確的金鑰管理解決方案。
定價
Azure Key Vault 標準層和進階層的計費以交易為準,進階硬體支援金鑰需每月支付每個金鑰的額外費用。 受控 HSM、雲端 HSM 預覽、專用 HSM 和付款 HSM 不收取交易式費用:相反地,它們是一律使用中的裝置,會以固定的每小時費率計費。 如需詳細的價格資訊,請參閱 Key Vault 價格、專用 HSM 價格和付款 HSM 價格。
服務限制
Managed HSM、Cloud HSM 預覽、Dedicated HSM 和 Payments HSM 提供專屬容量。 Key Vault 標準版和高級版是多租戶方案,而且有節流限制。 如需服務限制,請參閱 Key Vault 服務限制。
待用加密
Azure Key Vault 和 Azure Key Vault 受控 HSM 與 Azure 服務和客戶受控金鑰的 Microsoft 365 整合,這表示客戶可以在 Azure Key Vault 和 Azure 受控 HSM 中使用自己的金鑰,以便對這些服務中儲存的資料進行待用加密。 雲端 HSM 預覽、專用 HSM 和付款 HSM 是基礎結構即服務供應專案,且不提供與 Azure 服務的整合。 如需 Azure Key Vault 與受控 HSM 的靜態加密的相關概述,請參閱 Azure 資料靜態加密。
API
雲端 HSM 預覽、專用 HSM 和付款 HSM 支援 PKCS#11、JCE/JCA 和 KSP/CNG API,但 Azure Key Vault 和受控 HSM 則不支援。 Azure Key Vault 和受控 HSM 會使用 Azure Key Vault REST API 並提供 SDK 支援。 如需 Azure Key Vault API 的詳細資訊,請參閱 Azure Key Vault REST API 參考。