Anahtarlar hakkında

Azure Key Vault, şifreleme anahtarlarını depolamak ve yönetmek için iki tür kaynak sağlar. Kasalar yazılım korumalı ve HSM korumalı (Donanım Güvenlik Modülü) anahtarlarını destekler. Yönetilen HSM'ler yalnızca HSM korumalı anahtarları destekler.

Kaynak türü Anahtar koruma yöntemleri Veri düzlemi uç nokta tabanı URL'si
Tonoz Yazılım korumalı ve HSM korumalı (Premium SKU'da HSM anahtar türleri) https://{vault-name}.vault.azure.net
Yönetilen HSM'ler HSM korumalı https://{hsm-name}.managedhsm.azure.net
  • Kasalar - Kasalar, en yaygın bulut uygulaması senaryoları için uygun, düşük maliyetli, dağıtımı kolay, çok kiracılı, bölgeye dayanıklı (varsa), yüksek oranda kullanılabilir bir anahtar yönetimi çözümü sağlar.
  • Yönetilen HSM'ler - Yönetilen HSM, şifreleme anahtarlarınızı depolamak ve yönetmek için tek kiracılı, yüksek oranda kullanılabilir HSM'ler sağlar. Yüksek değerli anahtarları işleyen uygulamalar ve kullanım senaryoları için en uygun olandır. Ayrıca en sıkı güvenlik, uyumluluk ve mevzuat gereksinimlerini karşılamaya yardımcı olur.

Not

Kasalar ayrıca şifreleme anahtarlarının yanı sıra gizli diziler, sertifikalar ve depolama hesabı anahtarları gibi çeşitli nesne türlerini depolamanıza ve yönetmenize de olanak sağlar.

Key Vault'taki şifreleme anahtarları JSON Web Anahtarı [JWK] nesneleri olarak temsil edilir. JavaScript Nesne Gösterimi (JSON) ve JavaScript Nesne İmzalama ve Şifreleme (JOSE) belirtimleri şunlardır:

Temel JWK/JWA belirtimleri, Azure Key Vault ve Yönetilen HSM uygulamalarına özgü anahtar türlerini etkinleştirmek için de genişletilir.

Kasalardaki HSM Anahtarları HSM'ler tarafından korunur; Yazılım anahtarları HSM'ler tarafından korunmaz.

  • Kasalarda depolanan anahtarlar, FIPS 140 onaylı HSM kullanılarak sağlam korumadan yararlanılır. İki farklı HSM platformu vardır: FIPS 140-2 Düzey 2 ile anahtar sürümlerini koruyan 1 ve anahtarın ne zaman oluşturulduğuna bağlı olarak FIPS 140-2 Düzey 3 HSM'lerle anahtarları koruyan 2. Tüm yeni anahtarlar ve anahtar sürümleri artık platform 2 kullanılarak oluşturulmuştur (Uk geo hariç). Hangi HSM Platform'un anahtar sürümünü koruyup korumadığını belirlemek için hsmPlatform sürümünü edinin.
  • Yönetilen HSM, anahtarlarınızı korumak için FIPS 140-2 Düzey 3 doğrulanmış HSM modüllerini kullanır. Her HSM havuzu, aynı donanım altyapısını paylaşan diğer tüm HSM'lerden tam şifreleme yalıtımı sağlayan kendi güvenlik etki alanına sahip yalıtılmış tek kiracılı bir örnektir. Yönetilen HSM anahtarları tek kiracılı HSM havuzlarında korunur. RSA, EC ve simetrik anahtarı yumuşak biçimde veya desteklenen bir HSM cihazından dışarı aktararak içeri aktarabilirsiniz. Ayrıca HSM havuzlarında anahtar oluşturabilirsiniz. KCG (kendi anahtarını getir) belirtiminde açıklanan yöntemi kullanarak HSM anahtarlarını içeri aktardığınızda, yönetilen HSM havuzlarına güvenli taşıma anahtarı malzemesi sağlar.

Coğrafi sınırlar hakkında daha fazla bilgi için bkz. Microsoft Azure Güven Merkezi

Anahtar türleri ve koruma yöntemleri

Key Vault, RSA ve EC anahtarlarını destekler. Yönetilen HSM RSA, EC ve simetrik anahtarları destekler.

HSM ile korunan anahtarlar

Anahtar türü Kasalar (yalnızca Premium SKU) Yönetilen HSM'ler
EC-HSM: Elips Eğrisi tuşu Desteklenir (P-256, P-384, P-521, secp256k1/P-256K) Desteklenir (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: RSA anahtarı Desteklenir (2048 bit, 3072 bit, 4096 bit) Desteklenir (2048 bit, 3072 bit, 4096 bit)
oct-HSM: Simetrik anahtar Desteklenmez Desteklenen (128 bit, 192 bit, 256 bit)

Yazılım korumalı anahtarlar

Anahtar türü Kasalar Yönetilen HSM'ler
RSA: "Yazılım korumalı" RSA anahtarı Desteklenir (2048 bit, 3072 bit, 4096 bit) Desteklenmez
EC: "Yazılım korumalı" Eliptik Eğri anahtarı Desteklenir (P-256, P-384, P-521, secp256k1/P-256K) Desteklenmez

Uyumluluk

Anahtar türü ve hedef Uyumluluk
Kasalarda yazılım korumalı (hsmPlatform 0) anahtarları FIPS 140-2 Düzey 1
Kasalarda hsmPlatform 1 korumalı anahtarlar (Premium SKU) FIPS 140-2 Level 2
kasalarda hsmPlatform 2 korumalı anahtarlar (Premium SKU) FIPS 140-2 Düzey 3
Yönetilen HSM'deki anahtarlar her zaman HSM korumalıdır FIPS 140-2 Düzey 3

Her anahtar türü, algoritmalar, işlemler, öznitelikler ve etiketler hakkında ayrıntılı bilgi için bkz . Anahtar türleri, algoritmalar ve işlemler .

Kullanım Senaryoları

ne zaman kullanılmalı Örnekler
Müşteri tarafından yönetilen anahtarlara sahip tümleşik kaynak sağlayıcıları için Azure sunucu tarafı veri şifrelemesi - Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme
İstemci tarafı veri şifrelemesi - Azure Key Vault ile İstemci Tarafı Şifrelemesi
Anahtarsız TLS - Anahtar İstemci Kitaplıklarını kullanma

Sonraki adımlar