Anahtarlar hakkında
Azure Key Vault, şifreleme anahtarlarını depolamak ve yönetmek için iki tür kaynak sağlar. Kasalar yazılım korumalı ve HSM korumalı (Donanım Güvenlik Modülü) anahtarlarını destekler. Yönetilen HSM'ler yalnızca HSM korumalı anahtarları destekler.
| Kaynak türü | Anahtar koruma yöntemleri | Veri düzlemi uç nokta tabanı URL'si |
|---|---|---|
| Tonoz | Yazılım korumalı ve HSM korumalı (Premium SKU'da HSM anahtar türleri) | https://{vault-name}.vault.azure.net |
| Yönetilen HSM'ler | HSM korumalı | https://{hsm-name}.managedhsm.azure.net |
- Kasalar - Kasalar, en yaygın bulut uygulaması senaryoları için uygun, düşük maliyetli, dağıtımı kolay, çok kiracılı, bölgeye dayanıklı (varsa), yüksek oranda kullanılabilir bir anahtar yönetimi çözümü sağlar.
- Yönetilen HSM'ler - Yönetilen HSM, şifreleme anahtarlarınızı depolamak ve yönetmek için tek kiracılı, yüksek oranda kullanılabilir HSM'ler sağlar. Yüksek değerli anahtarları işleyen uygulamalar ve kullanım senaryoları için en uygun olandır. Ayrıca en sıkı güvenlik, uyumluluk ve mevzuat gereksinimlerini karşılamaya yardımcı olur.
Not
Kasalar ayrıca şifreleme anahtarlarının yanı sıra gizli diziler, sertifikalar ve depolama hesabı anahtarları gibi çeşitli nesne türlerini depolamanıza ve yönetmenize de olanak sağlar.
Key Vault'taki şifreleme anahtarları JSON Web Anahtarı [JWK] nesneleri olarak temsil edilir. JavaScript Nesne Gösterimi (JSON) ve JavaScript Nesne İmzalama ve Şifreleme (JOSE) belirtimleri şunlardır:
- JSON Web Anahtarı (JWK)
- JSON Web Şifrelemesi (JWE)
- JSON Web Algoritmaları (JWA)
- JSON Web İmzası (JWS)
Temel JWK/JWA belirtimleri, Azure Key Vault ve Yönetilen HSM uygulamalarına özgü anahtar türlerini etkinleştirmek için de genişletilir.
Kasalardaki HSM Anahtarları HSM'ler tarafından korunur; Yazılım anahtarları HSM'ler tarafından korunmaz.
- Kasalarda depolanan anahtarlar, FIPS 140 onaylı HSM kullanılarak sağlam korumadan yararlanılır. İki farklı HSM platformu vardır: FIPS 140-2 Düzey 2 ile anahtar sürümlerini koruyan 1 ve anahtarın ne zaman oluşturulduğuna bağlı olarak FIPS 140-2 Düzey 3 HSM'lerle anahtarları koruyan 2. Tüm yeni anahtarlar ve anahtar sürümleri artık platform 2 kullanılarak oluşturulmuştur (Uk geo hariç). Hangi HSM Platform'un anahtar sürümünü koruyup korumadığını belirlemek için hsmPlatform sürümünü edinin.
- Yönetilen HSM, anahtarlarınızı korumak için FIPS 140-2 Düzey 3 doğrulanmış HSM modüllerini kullanır. Her HSM havuzu, aynı donanım altyapısını paylaşan diğer tüm HSM'lerden tam şifreleme yalıtımı sağlayan kendi güvenlik etki alanına sahip yalıtılmış tek kiracılı bir örnektir. Yönetilen HSM anahtarları tek kiracılı HSM havuzlarında korunur. RSA, EC ve simetrik anahtarı yumuşak biçimde veya desteklenen bir HSM cihazından dışarı aktararak içeri aktarabilirsiniz. Ayrıca HSM havuzlarında anahtar oluşturabilirsiniz. KCG (kendi anahtarını getir) belirtiminde açıklanan yöntemi kullanarak HSM anahtarlarını içeri aktardığınızda, yönetilen HSM havuzlarına güvenli taşıma anahtarı malzemesi sağlar.
Coğrafi sınırlar hakkında daha fazla bilgi için bkz. Microsoft Azure Güven Merkezi
Anahtar türleri ve koruma yöntemleri
Key Vault, RSA ve EC anahtarlarını destekler. Yönetilen HSM RSA, EC ve simetrik anahtarları destekler.
HSM ile korunan anahtarlar
| Anahtar türü | Kasalar (yalnızca Premium SKU) | Yönetilen HSM'ler |
|---|---|---|
| EC-HSM: Elips Eğrisi tuşu | Desteklenir (P-256, P-384, P-521, secp256k1/P-256K) | Desteklenir (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA anahtarı | Desteklenir (2048 bit, 3072 bit, 4096 bit) | Desteklenir (2048 bit, 3072 bit, 4096 bit) |
| oct-HSM: Simetrik anahtar | Desteklenmez | Desteklenen (128 bit, 192 bit, 256 bit) |
Yazılım korumalı anahtarlar
| Anahtar türü | Kasalar | Yönetilen HSM'ler |
|---|---|---|
| RSA: "Yazılım korumalı" RSA anahtarı | Desteklenir (2048 bit, 3072 bit, 4096 bit) | Desteklenmez |
| EC: "Yazılım korumalı" Eliptik Eğri anahtarı | Desteklenir (P-256, P-384, P-521, secp256k1/P-256K) | Desteklenmez |
Uyumluluk
| Anahtar türü ve hedef | Uyumluluk |
|---|---|
| Kasalarda yazılım korumalı (hsmPlatform 0) anahtarları | FIPS 140-2 Düzey 1 |
| Kasalarda hsmPlatform 1 korumalı anahtarlar (Premium SKU) | FIPS 140-2 Level 2 |
| kasalarda hsmPlatform 2 korumalı anahtarlar (Premium SKU) | FIPS 140-2 Düzey 3 |
| Yönetilen HSM'deki anahtarlar her zaman HSM korumalıdır | FIPS 140-2 Düzey 3 |
Her anahtar türü, algoritmalar, işlemler, öznitelikler ve etiketler hakkında ayrıntılı bilgi için bkz . Anahtar türleri, algoritmalar ve işlemler .
Kullanım Senaryoları
| ne zaman kullanılmalı | Örnekler |
|---|---|
| Müşteri tarafından yönetilen anahtarlara sahip tümleşik kaynak sağlayıcıları için Azure sunucu tarafı veri şifrelemesi | - Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme |
| İstemci tarafı veri şifrelemesi | - Azure Key Vault ile İstemci Tarafı Şifrelemesi |
| Anahtarsız TLS | - Anahtar İstemci Kitaplıklarını kullanma |