Importer des clés protégées par HSM dans un coffre de clés

Pour une meilleure garantie, lorsque vous utilisez le coffre de clés Azure, vous pouvez importer ou générer des clés dans des modules de sécurité matériels (HSM) qui ne franchissent jamais les limites HSM. Ce scénario est souvent appelé Apportez votre propre cléou désigné par l’acronyme BYOK. Azure Key Vault utilise la famille nShield de modules HSM (FIPS 140-2 niveau 2 validé) de nCipher pour protéger vos clés.

Cette fonctionnalité n’est pas disponible pour Azure Chine 21Vianet.

Notes

Pour plus d’informations sur le coffre de clés Azure, consultez la page Présentation du coffre de clés Azure
Pour voir un didacticiel de mise en route incluant un coffre de clés pour les clés protégées par HSM, consultez la section Présentation d’Azure Key Vault.

Modules HSM pris en charge

Le transfert de clés protégées par HSM vers un coffre de clés est pris en charge par deux méthodes. La méthode à employer dépend des modules HSM que vous utilisez. Utilisez le tableau ci-dessous pour déterminer la méthode à utiliser pour vos modules HSM afin de générer, puis transférer vos propres clés protégées par HSM, que vous utiliserez avec Azure Key Vault.

Nom du fournisseur Type de fournisseur Modèles HSM pris en charge Méthode de transfert de clé HSM prise en charge
Cryptomathic ISV (système de gestion de clés sécurisé) Plusieurs marques et modèles de modules HSM, dont
  • nCipher
  • Thales
  • Utimaco
Pour plus d'informations, consultez le site de Cryptomathic
Utiliser la nouvelle méthode BYOK
Entrust Fabricant,
HSM en tant que service
  • Famille nShield de modules HSM
  • nShield en tant que service
Utiliser la nouvelle méthode BYOK
Fortanix Fabricant,
HSM en tant que service
  • SDKMS (Self-Defending Key Management Service)
  • Equinix SmartKey
Utiliser la nouvelle méthode BYOK
IBM Fabricant IBM 476x, CryptoExpress Utiliser la nouvelle méthode BYOK
Marvell Fabricant Tous les modules HSM LiquidSecurity avec
  • Version 2.0.4 ou ultérieure du microprogramme
  • Version 3.2 ou ultérieure du microprogramme
Utiliser la nouvelle méthode BYOK
nCipher Fabricant,
HSM en tant que service
  • Famille nShield de modules HSM
  • nShield en tant que service
Méthode 1 :nCipher BYOK (déconseillée). Cette méthode ne sera pas prise en charge après le 30 juin 2021
Méthode 2 :Utiliser la nouvelle méthode BYOK (recommandée)
Voir ligne Entrust ci-dessus
Securosys SA Fabricant,
HSM en tant que service
Famille HSM de Primus, HSM Clouds de Securosys Utiliser la nouvelle méthode BYOK
StorMagic ISV (système de gestion de clés sécurisé) Plusieurs marques et modèles de modules HSM, dont
  • Utimaco
  • Thales
  • nCipher
Pour plus d’informations, consultez le site StorMagic
Utiliser la nouvelle méthode BYOK
Thales Fabricant
  • Famille Luna HSM 7 avec microprogramme version 7.3 ou ultérieure
Utiliser la nouvelle méthode BYOK
Utimaco Fabricant,
HSM en tant que service
u.trust Anchor, CryptoServer Utiliser la nouvelle méthode BYOK

Étapes suivantes