Importer des clés protégées par HSM dans Key Vault (BYOK)Import HSM-protected keys to Key Vault (BYOK)

Pour une meilleure garantie, lorsque vous utilisez Azure Key Vault, vous pouvez importer ou générer une clé dans un module de sécurité matériel (HSM), qui ne franchit jamais les limites de celui-ci.For added assurance when you use Azure Key Vault, you can import or generate a key in a hardware security module (HSM); the key will never leave the HSM boundary. Il est souvent fait référence à ce scénario sous le terme BYOK (Bring Your Own Key, ou apportez votre propre clé).This scenario often is referred to as bring your own key (BYOK). Azure Key Vault utilise la famille nShield de HSM (FIPS 140-2 niveau 2 validé) de nCipher pour protéger vos clés.Key Vault uses the nCipher nShield family of HSMs (FIPS 140-2 Level 2 validated) to protect your keys.

Les informations de cet article vous aident à planifier, à générer puis à transférer vos propres clés protégées par HSM à utiliser avec Azure Key Vault.Use the information in this article to help you plan for, generate, and transfer your own HSM-protected keys to use with Azure Key Vault.

Notes

Cette fonctionnalité n’est pas disponible pour Azure Chine 21Vianet.This functionality is not available for Azure China 21Vianet.

Cette méthode d’importation n’est disponible que pour les HSM pris en charge.This import method is available only for supported HSMs.

Pour plus d’informations et pour accéder à un tutoriel sur la prise en main de Key Vault (y compris la création d’un coffre de clés pour des clés protégées par HSM), voir Qu’est-ce qu’Azure Key Vault ?.For more information, and for a tutorial to get started using Key Vault (including how to create a key vault for HSM-protected keys), see What is Azure Key Vault?.

Vue d’ensembleOverview

Voici une vue d’ensemble du processus.Here's an overview of the process. Les étapes spécifiques à effectuer sont décrites plus loin dans cet article.Specific steps to complete are described later in the article.

  • Dans Azure Key Vault, générez une clé (Key Exchange Key, KEK).In Key Vault, generate a key (referred to as a Key Exchange Key (KEK)). Cette KEK doit être une clé RSA-HSM qui n’a que l’opération de clé import.The KEK must be an RSA-HSM key that has only the import key operation. Seule la référence SKU Premium d’Azure Key Vault prend en charge les clés RSA-HSM.Only Key Vault Premium SKU supports RSA-HSM keys.
  • Téléchargez la clé publique KEK en tant que fichier. pem.Download the KEK public key as a .pem file.
  • Transférez la clé publique KEK sur un ordinateur hors connexion connecté à un HSM local.Transfer the KEK public key to an offline computer that is connected to an on-premises HSM.
  • Sur l’ordinateur hors connexion, utilisez l’outil BYOK fourni par votre fournisseur de HSM pour créer un fichier BYOK.In the offline computer, use the BYOK tool provided by your HSM vendor to create a BYOK file.
  • La clé cible est chiffrée à l’aide d’une clé KEK qui reste chiffrée jusqu’à ce qu’elle soit transférée vers le HSM d’Azure Key Vault.The target key is encrypted with a KEK, which stays encrypted until it is transferred to the Key Vault HSM. Seule la version chiffrée de la clé quitte le HSM local.Only the encrypted version of your key leaves the on-premises HSM.
  • Une clé KEK générée à l’intérieur d’un HSM de Key Vault n’est pas exportable.A KEK that's generated inside a Key Vault HSM is not exportable. Les HSM appliquent la règle en vertu de laquelle aucune version claire d’une clé KEK n’existe en dehors d’un HSM de Key Vault.HSMs enforce the rule that no clear version of a KEK exists outside a Key Vault HSM.
  • La clé KEK doit se trouver dans le coffre de clés dans lequel la clé cible doit être importée.The KEK must be in the same key vault where the target key will be imported.
  • Lors du chargement du fichier BYOK sur le coffre de clés, un HSM de Key Vault utilise la clé KEK privée pour déchiffrer le matériel de la clé cible et l’importer comme clé HSM.When the BYOK file is uploaded to Key Vault, a Key Vault HSM uses the KEK private key to decrypt the target key material and import it as an HSM key. Cette opération se produit entièrement à l’intérieur d’un HSM de Key Vault.This operation happens entirely inside a Key Vault HSM. La clé cible reste toujours dans la limite de protection du HSM.The target key always remains in the HSM protection boundary.

PrérequisPrerequisites

Le tableau suivant répertorie les conditions préalables à l’utilisation de BYOK dans Azure Key Vault :The following table lists prerequisites for using BYOK in Azure Key Vault:

Condition requiseRequirement Informations complémentairesMore information
Abonnement AzureAn Azure subscription Pour créer un coffre de clés dans Azure Key Vault, vous avez besoin d’un abonnement Azure.To create a key vault in Azure Key Vault, you need an Azure subscription. Inscrivez-vous pour un essai gratuit.Sign up for a free trial.
SKU Premium Key Vault pour l’importation de clés protégées par HSMA Key Vault Premium SKU to import HSM-protected keys Pour plus d’informations sur les niveaux de service et les capacités d’Azure Key Vault, voir Tarification d’Azure Key Vault.For more information about the service tiers and capabilities in Azure Key Vault, see Key Vault Pricing.
HSM figurant dans la liste des HSM pris en charge, avec un outil BYOK et des instructions fournies par votre fournisseur de HSMAn HSM from the supported HSMs list and a BYOK tool and instructions provided by your HSM vendor Vous devez disposer d’autorisations pour un HSM et d’une connaissance de base de l’utilisation de votre HSM.You must have permissions for an HSM and basic knowledge of how to use your HSM. Consultez Modules HSM pris en charge.See Supported HSMs.
Azure CLI version 2.1.0 ou ultérieureAzure CLI version 2.1.0 or later Voir Installer l’interface de ligne de commande Azure.See Install the Azure CLI.

Modules HSM pris en chargeSupported HSMs

Nom du fournisseurVendor name Type de fournisseurVendor Type Modèles HSM pris en chargeSupported HSM models Informations complémentairesMore information
nCiphernCipher Fabricant,Manufacturer,
HSM en tant que serviceHSM as a service
  • Famille nShield de modules HSMnShield family of HSMs
  • nShield en tant que servicenShield as a service
Outil et documentation BYOK nCipher (nouvelle méthode)nCipher new BYOK tool and documentation
ThalesThales FabricantManufacturer
  • Famille Luna HSM 7 avec microprogramme version 7.3 ou ultérieureLuna HSM 7 family with firmware version 7.3 or newer
Outil BYOK Luna et documentationLuna BYOK tool and documentation
FortanixFortanix Fabricant,Manufacturer,
HSM en tant que serviceHSM as a service
  • SDKMS (Self-Defending Key Management Service)Self-Defending Key Management Service (SDKMS)
  • Equinix SmartKeyEquinix SmartKey
Exportation de clés SDKMS vers des fournisseurs cloud pour BYOK - Azure Key VaultExporting SDKMS keys to Cloud Providers for BYOK - Azure Key Vault
MarvellMarvell FabricantManufacturer Tous les modules HSM LiquidSecurity avecAll LiquidSecurity HSMs with
  • Version 2.0.4 ou ultérieure du microprogrammeFirmware version 2.0.4 or later
  • Version 3.2 ou ultérieure du microprogrammeFirmware version 3.2 or newer
Outil et documentation BYOK MarvellMarvell BYOK tool and documentation
CryptomathicCryptomathic ISV (système de gestion de clés sécurisé)ISV (Enterprise Key Management System) Plusieurs marques et modèles de modules HSM, dontMultiple HSM brands and models including
  • nCiphernCipher
  • ThalesThales
  • UtimacoUtimaco
Pour plus d’informations, consultez le site de CryptomathicSee Cryptomathic site for details
Outil et documentation BYOK CryptomathicCryptomathic BYOK tool and documentation
Securosys SASecurosys SA Fabricant, HSM en tant que serviceManufacturer, HSM as a service Famille HSM de Primus, HSM Clouds de SecurosysPrimus HSM family, Securosys Clouds HSM Outil et documentation BYOK PrimusPrimus BYOK tool and documentation
StorMagicStorMagic ISV (système de gestion de clés sécurisé)ISV (Enterprise Key Management System) Plusieurs marques et modèles de modules HSM, dontMultiple HSM brands and models including
  • UtimacoUtimaco
  • ThalesThales
  • nCiphernCipher
Pour plus d’informations, consultez le site StorMagicSee StorMagic site for details
SvKMS et BYOK d’Azure Key VaultSvKMS and Azure Key Vault BYOK

Types de clés pris en chargeSupported key types

Nom de cléKey name Type de cléKey type Taille de la cléKey size OrigineOrigin DescriptionDescription
Key Exchange Key (KEK)Key Exchange Key (KEK) RSARSA 2 048 bits2,048-bit
3 072 bits3,072-bit
4 096 bits4,096-bit
HSM Azure Key VaultAzure Key Vault HSM Paire de clés RSA sauvegardée par HSM générée dans Azure Key VaultAn HSM-backed RSA key pair generated in Azure Key Vault
Clé cibleTarget key RSARSA 2 048 bits2,048-bit
3 072 bits3,072-bit
4 096 bits4,096-bit
HSM du fournisseurVendor HSM Clé à transférer au HSM d’Azure Key VaultThe key to be transferred to the Azure Key Vault HSM

Générer et transférer votre clé vers le HSM du Key VaultGenerate and transfer your key to the Key Vault HSM

Pour générer et transférer votre clé vers un HDM de Key Vault :To generate and transfer your key to a Key Vault HSM:

Étape 1 : Générer une clé KEKStep 1: Generate a KEK

Une KEK est une clé RSA générée dans un HSM de Key Vault.A KEK is an RSA key that's generated in a Key Vault HSM. La KEK est utilisée pour chiffrer la clé que vous souhaitez importer (clé cible).The KEK is used to encrypt the key you want to import (the target key).

La clé KEK doit être :The KEK must be:

  • une clé RSA-HSM (2 048 bits, 3 072 bits ou 4 096 bits)An RSA-HSM key (2,048-bit; 3,072-bit; or 4,096-bit)
  • Générée dans le coffre de clés dans lequel vous envisagez d’importer la clé cibleGenerated in the same key vault where you intend to import the target key
  • Créée avec les opérations de clé autorisées définies sur importCreated with allowed key operations set to import

Notes

La clé KEK doit avoir « Importer » comme seule opération de clé autorisée.The KEK must have 'import' as the only allowed key operation. « Importer » est incompatible avec toutes les autres opérations de clé.'import' is mutually exclusive with all other key operations.

Pour créer une clé KEK avec les opérations de clé définies sur import, utilisez la commande az keyvault key create.Use the az keyvault key create command to create a KEK that has key operations set to import. Enregistrez l’identificateur de clé (kid) qui est retourné par la commande suivante.Record the key identifier (kid) that's returned from the following command. (Vous allez utiliser la valeur kid à l’étape 3.)(You will use the kid value in Step 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Étape 2 : Télécharger la clé publique KEKStep 2: Download the KEK public key

Utilisez la commande az keyvault key download pour télécharger la clé publique KEK dans un fichier .pem.Use az keyvault key download to download the KEK public key to a .pem file. La clé cible que vous importez est chiffrée à l’aide de la clé publique KEK.The target key you import is encrypted by using the KEK public key.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Transférez le fichier KEKforBYOK.publickey.pem sur votre ordiateur hors connexion.Transfer the KEKforBYOK.publickey.pem file to your offline computer. Vous en aurez besoin à l’étape suivante.You will need this file in the next step.

Étape 3 : Générer votre clé et la préparer pour le transfertStep 3: Generate and prepare your key for transfer

Reportez-vous à la documentation de votre fournisseur de HSM pour télécharger et installer l’outil BYOK.Refer to your HSM vendor's documentation to download and install the BYOK tool. Suivez les instructions de votre fournisseur de HSM pour générer une clé cible, puis créez un package de transfert de clé (fichier BYOK).Follow instructions from your HSM vendor to generate a target key, and then create a key transfer package (a BYOK file). L’outil BYOK utilise le kid de l’étape 1 et le fichier KEKforBYOK.publickey.pem que vous avez téléchargé à l’étape 2 pour générer une clé cible chiffrée dans un fichier BYOK.The BYOK tool will use the kid from Step 1 and the KEKforBYOK.publickey.pem file you downloaded in Step 2 to generate an encrypted target key in a BYOK file.

Transférez le fichier BYOK sur votre ordinateur connecté.Transfer the BYOK file to your connected computer.

Notes

L’importation de clés RSA 1 024 bits n’est pas prise en charge.Importing RSA 1,024-bit keys is not supported. Actuellement, l’importation d’une clé Elliptic Curve (EC) n’est pas prise en charge.Currently, importing an Elliptic Curve (EC) key is not supported.

Problème connu : L’importation d’une clé cible RSA 4K à partir de modules HSM Luna est uniquement prise en charge avec le microprogramme 7.4.0 ou une version ultérieure.Known issue: Importing an RSA 4K target key from Luna HSMs is only supported with firmware 7.4.0 or newer.

Étape 4 : Transférer votre clé vers Azure Key VaultStep 4: Transfer your key to Azure Key Vault

Pour terminer l’importation de la clé, transférez le package de transfert de clé (fichier BYOK) de votre ordinateur déconnecté vers l’ordinateur connecté à Internet.To complete the key import, transfer the key transfer package (a BYOK file) from your disconnected computer to the internet-connected computer. Pour charger le fichier BYOK dans le HSM de Key Vault, utilisez la commande az keyvault key import.Use the az keyvault key import command to upload the BYOK file to the Key Vault HSM.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Si le chargement réussit, Azure CLI affiche les propriétés de la clé importée.If the upload is successful, Azure CLI displays the properties of the imported key.

Étapes suivantesNext steps

Vous pouvez maintenant utiliser cette clé protégée HSM dans votre coffre de clés.You can now use this HSM-protected key in your key vault. Pour plus d’informations, voir cette comparaison de prix et de fonctionnalité.For more information, see this price and feature comparison.