À propos des clésAbout keys

Azure Key Vault fournit deux types de ressources pour stocker et gérer les clés de chiffrement :Azure Key Vault provides two types of resources to store and manage cryptographic keys:

Type de ressourceResource type Méthodes de protection des clésKey protection methods URL de base du point de terminaison de plan de donnéesData-plane endpoint base URL
CoffresVaults Protégés par logicielSoftware-protected

etand

Protégés par HSM (avec la référence SKU Premium)HSM-protected (with Premium SKU)
https://{nom-coffre}.vault.azure.nethttps://{vault-name}.vault.azure.net
Pools HSM managésManaged HSM pools Protégés par HSMHSM-protected https://{nom-hsm}.managedhsm.azure.nethttps://{hsm-name}.managedhsm.azure.net
  • Coffres : ils fournissent une solution de gestion des clés adaptée aux scénarios d’applications cloud les plus courants. Cette solution est peu coûteuse, facile à déployer, multilocataire, résiliente aux zones (si disponible) et à haute disponibilité.Vaults - Vaults provide a low-cost, easy to deploy, multi-tenant, zone-resilient (where available), highly available key management solution suitable for most common cloud application scenarios.
  • HSM managés : ils offrent une solution monolocataire, résiliente aux zones (si disponible) et à haute disponibilité pour le stockage et la gestion de vos clés de chiffrement.Managed HSMs - Managed HSM provides single-tenant, zone-resilient (where available), highly available HSMs to store and manage your cryptographic keys. Ils sont particulièrement adaptés aux scénarios d’usage et d’applications qui utilisent des clés de grande valeur.Most suitable for applications and usage scenarios that handle high value keys. Ils aident également à remplir les exigences les plus strictes en matière de sécurité, de conformité et de réglementation.Also helps to meet most stringent security, compliance, and regulatory requirements.

Notes

Les coffres vous permettent également de stocker et de gérer plusieurs types d’objets tels que les secrets, les certificats et les clés de compte de stockage, en plus des clés de chiffrement.Vaults also allow you to store and manage several types of objects like secrets, certificates and storage account keys, in addition to cryptographic keys.

Les clés de chiffrement dans Key Vault sont représentées en tant qu’objets de clé web JSON [JWK].Cryptographic keys in Key Vault are represented as JSON Web Key [JWK] objects. Les spécifications JSON (JavaScript Object Notation) et JOSE (JavaScript Object Signing and Encryption) sont :The JavaScript Object Notation (JSON) and JavaScript Object Signing and Encryption (JOSE) specifications are:

Les spécifications JWK/JWA de base sont également étendues pour rendre les types de clés uniques dans les implémentations de coffres Azure Key Vault et de HSM managés.The base JWK/JWA specifications are also extended to enable key types unique to the Azure Key Vault and Managed HSM implementations.

Les clés protégées par HSM (aussi appelées clés HSM) sont traitées dans un HSM (module de sécurité matériel) et restent toujours dans les limites de la protection par HSM.HSM-protected keys (also referred to as HSM-keys) are processed in an HSM (Hardware Security Module) and always remain HSM protection boundary.

  • Les coffres utilisent des HSM conformes à la norme FIPS 140-2 niveau 2 pour protéger les clés HSM dans une infrastructure back-end HSM partagée.Vaults use FIPS 140-2 Level 2 validated HSMs to protect HSM-keys in shared HSM backend infrastructure.
  • Les pools HSM managés utilisent des HSM conformes à la norme FIPS 140-2 niveau 3 pour protéger vos clés.Managed HSM pools uses FIPS 140-2 Level 3 validated HSM modules to protect your keys. Chaque pool HSM est une instance monolocataire isolée qui a son propre domaine de sécurité, offrant ainsi une isolation de chiffrement complète de tous les autres pools HSM partageant la même infrastructure matérielle.Each HSM pool is an isolated single-tenant instance with it's own security domain providing complete cryptographic isolation from all other HSM pools sharing the same hardware infrastructure.

Ces clés sont protégées dans des pools HSM monolocataires.These keys are protected in single-tenant HSM-pools. Vous pouvez importer une clé RSA, EC et symétrique sous forme logicielle ou en l’exportant à partir d’un matériel HSM pris en charge.You can import an RSA, EC, and symmetric key, in soft form or by exporting from a supported HSM device. Vous pouvez aussi générer des clés dans les pools HSM.You can also generate keys in HSM pools. Lorsque vous importez des clés HSM en utilisant la méthode décrite dans la spécification BYOK (Bring Your Own Key), vous sécurisez les éléments de clé de transport dans des pools HSM managés.When you import HSM keys using the method described in the BYOK (bring your own key) specification, it enables secure transportation key material into Managed HSM pools.

Pour plus d’informations sur les frontières géographiques, consultez Centre de gestion de la confidentialité Microsoft AzureFor more information on geographical boundaries, see Microsoft Azure Trust Center

Types de clés et méthodes de protectionKey types and protection methods

Key Vault prend en charge les clés RSA, EC et symétriques.Key Vault supports RSA, EC and symmetric keys.

Clés protégées par HSMHSM-protected keys

Type de cléKey type Coffres (SKU Premium uniquement)Vaults (Premium SKU only) Pools de HSM managésManaged HSM pools
EC-HSM : clé Elliptic CurveEC-HSM: Elliptic Curve key HSM FIPS 140-2 niveau 2FIPS 140-2 Level 2 HSM HSM FIPS 140-2 niveau 3FIPS 140-2 Level 3 HSM
RSA-HSM : clé RSARSA-HSM: RSA key HSM FIPS 140-2 niveau 2FIPS 140-2 Level 2 HSM HSM FIPS 140-2 niveau 3FIPS 140-2 Level 3 HSM
oct-HSM : Symétriqueoct-HSM: Symmetric Non pris en chargeNot supported HSM FIPS 140-2 niveau 3FIPS 140-2 Level 3 HSM

Clés protégées par logicielSoftware-protected keys

Type de cléKey type CoffresVaults Pools de HSM managésManaged HSM pools
RSA : clé RSA « protégée par logiciel »RSA: "Software-protected" RSA key FIPS 140-2 niveau 1FIPS 140-2 Level 1 Non pris en chargeNot supported
EC : clé Elliptic Curve « protégée par logiciel »EC: "Software-protected" Elliptic Curve key FIPS 140-2 niveau 1FIPS 140-2 Level 1 Non pris en chargeNot supported

Pour plus d’informations sur chaque type de clé, mais aussi sur les algorithmes, les opérations, les attributs et les étiquettes, consultez Types de clés, algorithmes et opérations.Please see Key types, algorithms, and operations for details about each key type, algorithms, operations, attributes and tags.

Étapes suivantesNext steps