키 정보

Azure Key Vault는 암호화 키를 저장하고 관리하는 두 가지 유형의 리소스를 제공합니다. 자격 증명 모음은 소프트웨어 보호 및 HSM 보호(하드웨어 보안 모듈) 키를 지원합니다. 관리되는 HSM은 HSM 보호 키만 지원합니다.

• 자격 증명 모음 - 가장 일반적인 클라우드 애플리케이션 시나리오에 적합한 저렴하고 배포하기 쉬운 다중 테넌트, 영역 복원 가능(사용 가능한 경우), 고가용성 키 관리 솔루션을 제공합니다.
• 관리되는 HSM - 관리되는 HSM은 암호화 키를 저장하고 관리할 수 있는 단일 테넌트, 고가용성 HSM을 제공합니다. 높은 값 키를 처리하는 애플리케이션 및 사용 시나리오에 가장 적합합니다. 가장 엄격한 보안, 규정 준수 및 규정 요구 사항을 충족하는 데도 도움이 됩니다.

Key Vault의 암호화 키는 JWK[JSON 웹 키] 개체로 표현됩니다. JSON(JavaScript Object Notation) 및 JOSE(JavaScript Object Signing and Encryption) 사양은 다음과 같습니다.

• JWK(JSON 웹 키)
• JWE(JSON 웹 암호화)
• JWA(JSON 웹 알고리즘)
• JWS(JSON 웹 서명)

또한 기본 JWK/JWA 사양을 확장하여 Azure Key Vault 및 관리형 HSM 구현에 고유한 키 유형을 지원할 수 있습니다.

자격 증명 모음의 HSM 키는 HSM에 의해 보호되지만, 소프트웨어 키는 HSM에 의해 보호되지 않습니다.

• 자격 증명 모음에 저장된 키는 FIPS 140 인증 HSM을 사용하여 강력한 보호를 받을 수 있습니다. 사용할 수 있는 두 가지 고유한 HSM 플랫폼이 있습니다. 키가 만들어진 시기에 따라 하나는 FIPS 140-2 수준 2로 키 버전을 보호하고 다른 하나는 FIPS 140-2 수준 3 HSM으로 키 버전을 보호합니다. 이제 모든 새 키와 키 버전은 플랫폼 2를 사용하여 만들어집니다(영국 지역 제외). 키 버전을 보호하는 HSM 플랫폼을 확인하려면 hsmPlatform을 가져옵니다.
• 관리되는 HSM은 FIPS 140-2 수준 3 유효성이 검사된 HSM 모듈을 사용하여 키를 보호합니다. 각 HSM 풀은 자체 보안 도메인을 포함하는 격리된 단일 테넌트 인스턴스로, 동일한 하드웨어 인프라를 공유하는 다른 모든 HSM에서 완벽한 암호화 격리를 제공합니다. 관리되는 HSM 키는 단일 테넌트 HSM 풀에서 보호됩니다. RSA, EC 및 대칭 키를 소프트 형식으로 또는 지원되는 HSM 디바이스에서 내보내 가져올 수 있습니다. 또한 HSM 풀에서 키를 생성할 수도 있습니다. BYOK(사용자 고유 키 가져오기) 사양에 설명된 방법을 사용하여 HSM 키를 가져오는 경우 보안 운송 키 자료를 관리형 HSM 풀로 사용할 수 있습니다.

지리적 경계에 대한 자세한 내용은 Microsoft Azure 보안 센터를 참조하세요.

키 유형 및 보호 방법

Key Vault는 RSA 및 EC 키를 지원합니다. 관리형 HSM은 RSA, EC 및 대칭 키를 지원합니다.

HSM 보호 키

소프트웨어 보호 키

규정 준수

각 키 형식, 알고리즘, 작업, 특성 및 태그에 대한 자세한 내용은 키 형식, 알고리즘 및 작업을 참조하세요.

사용 시나리오

다음 단계

• Azure의 키 관리
• Key Vault 정보
• 관리형 HSM 정보
• 비밀 정보
• 인증서 정보
• Key Vault REST API 개요
• 인증, 요청 및 응답
• Key Vault 개발자 가이드