Importer des clés protégées par HSM dans un coffre de clés

Pour une meilleure garantie, lorsque vous utilisez le coffre de clés Azure, vous pouvez importer ou générer des clés dans des modules de sécurité matériels (HSM) qui ne franchissent jamais les limites HSM. Ce scénario est souvent appelé Apportez votre propre cléou désigné par l’acronyme BYOK. Azure Key Vault utilise des modules HSM validés FIPS 140 pour protéger vos clés.

Cette fonctionnalité n’est pas disponible pour Microsoft Azure géré par 21Vianet.

Notes

Pour plus d’informations sur le coffre de clés Azure, consultez la page Présentation du coffre de clés Azure
Pour voir un didacticiel de mise en route incluant un coffre de clés pour les clés protégées par HSM, consultez la section Présentation d’Azure Key Vault.

Modules HSM pris en charge

Le transfert de clés protégées par HSM vers un coffre de clés est pris en charge par deux méthodes. La méthode à employer dépend des modules HSM que vous utilisez. Utilisez ce tableau pour déterminer la méthode à utiliser pour vos HSM afin de générer, puis transférer vos propres clés protégées par HSM et les utiliser avec Azure Key Vault.

Nom du fournisseur	Type de fournisseur	Modèles HSM pris en charge	Méthode de transfert de clé HSM prise en charge
Cryptomathic	ISV (système de gestion de clés sécurisé)	Plusieurs marques et modèles de modules HSM, dont nCipher Thales Utimaco Pour plus d'informations, consultez le site de Cryptomathic	Utiliser la nouvelle méthode BYOK
Entrust	Fabricant, HSM en tant que service	Famille nShield de modules HSM nShield en tant que service	Utiliser la nouvelle méthode BYOK
Fortanix	Fabricant, HSM en tant que service	SDKMS (Self-Defending Key Management Service) Equinix SmartKey	Utiliser la nouvelle méthode BYOK
IBM	Fabricant	IBM 476x, CryptoExpress	Utiliser la nouvelle méthode BYOK
Marvell	Fabricant	Tous les modules HSM LiquidSecurity avec Version 2.0.4 ou ultérieure du microprogramme Version 3.2 ou ultérieure du microprogramme	Utiliser la nouvelle méthode BYOK
nCipher	Fabricant, HSM en tant que service	Famille nShield de modules HSM nShield en tant que service	Méthode 1 :nCipher BYOK (déconseillée). Cette méthode ne sera pas prise en charge après le 30 juin 2021 Méthode 2 :Utiliser la nouvelle méthode BYOK (recommandée) Consultez la ligne Entrust.
Securosys SA	Fabricant, HSM en tant que service	Famille HSM de Primus, HSM Clouds de Securosys	Utiliser la nouvelle méthode BYOK
StorMagic	ISV (système de gestion de clés sécurisé)	Plusieurs marques et modèles de modules HSM, dont Utimaco Thales nCipher Pour plus d’informations, consultez le site StorMagic	Utiliser la nouvelle méthode BYOK
Thales	Fabricant	Famille Luna HSM 7 avec microprogramme version 7.3 ou ultérieure	Utiliser la nouvelle méthode BYOK
Utimaco	Fabricant, HSM en tant que service	u.trust Anchor, CryptoServer	Utiliser la nouvelle méthode BYOK

Étapes suivantes

• Passez en revue la vue d’ensemble de la sécurité des coffres de clés pour assurer la sécurité, la durabilité et la supervision de vos clés.
• Pour une description complète de la nouvelle méthode BYOK, reportez-vous à la Spécification BYOK.