Azure 中的金鑰管理
在 Azure 中,加密金鑰可以是平台代控或客戶自控。
平臺管理的金鑰 (PMK) 是由 Azure 完全產生、儲存和管理的加密金鑰。 客戶不會與 PMK 互動。 例如,用於 Azure 資料待用加密的金鑰預設為 PMK。
客戶管理的金鑰 (CMK) ,是金鑰讀取、建立、刪除、更新及/或由一或多個客戶管理。 儲存在客戶自有金鑰保存庫或硬體安全模組 (HSM) 中的金鑰是 CMK。 攜帶您自己的金鑰 (BYOK) 屬於 CMK 案例,客戶會將金鑰從外部儲存體位置匯入 Azure 金鑰管理服務 (請參閱 Azure Key Vault:攜帶您自己的金鑰規格)。
特定類型的客戶管理金鑰是「金鑰加密金鑰」 (KEK) 。 KEK 是一個主要金鑰,可控制對一或多個本身加密的加密金鑰的存取。
客戶自控金鑰可儲存於內部,更為常見的是將其儲存於雲端金鑰管理服務。
Azure 金鑰管理服務
Azure 提供數個選項來儲存和管理雲端中的金鑰,包括 Azure 金鑰保存庫、Azure 受控 HSM、Azure 專用 HSM 和 Azure 付款 HSM。 這些選項在 FIPS 合規性等級、管理營運費用和目標應用程式方面各不相同。
如需每個金鑰管理服務的概觀,以及為您選擇正確金鑰管理解決方案的完整指南,請參閱 如何選擇正確的金鑰管理解決方案。
定價
Azure Key Vault 標準層和進階層的計費以交易為準,進階硬體支援金鑰需每月支付每個金鑰的額外費用。 受控 HSM、專用 HSM 和 收費 HSM 不會以交易為基礎收費;而是一律使用中以固定每小時費率計費的裝置。 如需詳細的價格資訊,請參閱 Key Vault 價格、專用 HSM 價格和付款 HSM 價格。
服務限制
受控 HSM、專用 HSM 和付款 HSM 提供專用容量。 Key Vault 標準層和進階層是多租用戶供應項目,而且有節流限制。 如需服務限制,請參閱 Key Vault 服務限制。
待用加密
Azure Key Vault 和 Azure Key Vault 受控 HSM 與 Azure 服務和客戶受控金鑰的 Microsoft 365 整合,這表示客戶可以在 Azure Key Vault 和 Azure 金鑰受控 HSM 中使用自己的金鑰,以便對這些服務中儲存的資料進行待用加密。 專用 HSM 和付款 HSM 是基礎結構即服務供應項目,而且不提供與 Azure 服務的整合。 如需 Azure Key Vault 與受控 HSM 的待用加密的相關概觀,請參閱 Azure 資料待用加密。
API
專用 HSM 和付款 HSM 支援 PKCS#11、JCE/JCA 和 KSP/CNG API,但 Azure Key Vault 和受控 HSM 則不支援。 Azure Key Vault 和受控 HSM 會使用 Azure Key Vault REST API 並提供 SDK 支援。 如需 Azure Key Vault API 的詳細資訊,請參閱 Azure Key Vault REST API 參考。