Импорт защищенных модулем HSM ключей в Key Vault

Чтобы обеспечить более высокий уровень защиты при работе с хранилищем ключей Azure, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределы). Такой сценарий с использованием собственного ключа часто называется BYOK. Azure Key Vault использует проверенные HSM FIPS 140 для защиты ключей.

Эта функция недоступна для Microsoft Azure, управляемой 21Vianet.

Примечание.

Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?
Указания по началу работы, включая создание хранилища для ключей, защищенных модулем HSM, см. в этой статье.

Поддерживаемые модули HSM

В зависимости от используемого HSM поддерживается два различных метода передачи ключей, защищенных модулем HSM, в Key Vault. Используйте эту таблицу, чтобы определить, какой метод следует использовать для создания виртуальных машин HSM, а затем передать собственные ключи, защищенные HSM, для использования с Azure Key Vault.

Имя поставщика Тип поставщика Поддерживаемые модели модуля HSM Поддерживаемый метод переноса ключа HSM
Cryptomathic ISV (Enterprise Key Management System) Несколько торговых марок и моделей HSM, в том числе
  • nCipher
  • Thales
  • Utimaco
Дополнительные сведения см. на сайте Cryptomathic.
Использование нового метода BYOK
Entrust Производитель,
HSM как услуга
  • Семейство модулей HSM nShield
  • nShield как услуга
Использование нового метода BYOK
Fortanix Производитель,
HSM как услуга
  • Служба управления ключами для самостоятельной защиты (SDKMS)
  • Equinix SmartKey
Использование нового метода BYOK
Futurex Производитель,
HSM как услуга
  • CryptoHub
  • CryptoHub Cloud
  • Серия KMES 3
Использование нового метода BYOK
IBM Производитель IBM 476x, CryptoExpress Использование нового метода BYOK
Marvell Производитель Все модули HSM LiquidSecurity со
  • встроенным ПО версии 2.0.4 или более поздней
  • встроенным ПО версии 3.2 или более новой
Использование нового метода BYOK
nCipher Производитель,
HSM как услуга
  • Семейство модулей HSM nShield
  • nShield как услуга
Метод 1: nCipher BYOK (не рекомендуется). Поддержка данного метода прекратится после 30 июня 2021 г.
Метод 2. Использование нового метода BYOK (рекомендуется)
См. строку "Доверие".
Securosys SA Производитель,
HSM как услуга
Семейство Primus HSM, Securosys Clouds HSM Использование нового метода BYOK
StorMagic ISV (Enterprise Key Management System) Несколько торговых марок и моделей HSM, в том числе
  • Utimaco
  • Thales
  • nCipher
Дополнительные сведения см. на сайте StorMagic.
Использование нового метода BYOK
Thales Производитель
  • Семейство HSM 7 Luna со встроенным ПО версии 7.3 или более поздней
Использование нового метода BYOK
Utimaco Производитель,
HSM как услуга
u.trust Anchor, CryptoServer Использование нового метода BYOK

Следующие шаги