HSM で保護されたキーを Key Vault にインポートする
Azure Key Vault の使用時にさらに安心感を高める場合、ハードウェア セキュリティ モジュール (HSM) でキーをインポートしたり、生成したりできます。キーは HSM の境界内から出ることはありません。 このシナリオは、多くの場合、Bring Your Own Key または BYOK と呼ばれています。 Azure Key Vault では、FIPS 140 適合の HSM を使用して、キーを保護します。
この機能は、21Vianet によって運営される Microsoft Azure では使用できません。
Note
Azure Key Vault の詳細については、「 What is Azure Key Vault? (Azure Key Vault とは)
HSM で保護されたキーの Key Vault 作成を含む入門チュートリアルについては、「Azure Key Vault とは」を参照してください。
サポートされている HSM
HSM で保護されたキーの Key Vault への転送は、使用する HSM に応じて 2 つの異なる方法でサポートされます。 次の表を使用して、HSM で保護された独自のキーを生成し、Azure Key Vault での使用のためにそれらのキーを転送する方法を決定します。
| ベンダー名 | ベンダーの種類 | サポートされている HSM モデル | サポートされている HSM キーの転送方法 |
|---|---|---|---|
| Cryptomathic | ISV (エンタープライズ キー管理システム) | 以下を含む複数の HSM ブランドおよびモデル
|
新しい BYOK の方法を使用する |
| Entrust | 製造元、 サービスとしての HSM |
|
新しい BYOK の方法を使用する |
| Fortanix | 製造元、 サービスとしての HSM |
|
新しい BYOK の方法を使用する |
| IBM | 製造元 | IBM 476x、CryptoExpress | 新しい BYOK の方法を使用する |
| Marvell | Manufacturer | 以下を含む LiquidSecurity のすべての HSM
|
新しい BYOK の方法を使用する |
| nCipher | 製造元、 サービスとしての HSM |
|
方法 1:nCipher BYOK (非推奨)。 この方法がサポートされるのは、2021 年 6 月 30 日までとなります。 方法 2:新しい BYOK の方法を使用する (推奨) Entrust の行を参照してください。 |
| Securosys SA | 製造元、 サービスとしての HSM |
Primus HSM ファミリ、Securosys Clouds HSM | 新しい BYOK の方法を使用する |
| StorMagic | ISV (エンタープライズ キー管理システム) | 以下を含む複数の HSM ブランドおよびモデル
|
新しい BYOK の方法を使用する |
| Thales | Manufacturer |
|
新しい BYOK の方法を使用する |
| Utimaco | 製造元、 サービスとしての HSM |
u.trust Anchor、CryptoServer | 新しい BYOK の方法を使用する |
次のステップ
- Key Vault のセキュリティの概要を読んで、キーのセキュリティ、持続性、監視を徹底します。
- 新しい BYOK の方法の詳細については、BYOK の仕様に関するページを参照してください