Anahtarlar hakkında
Azure Key Vault şifreleme anahtarlarını depolamak ve yönetmek için iki tür kaynak sağlar. Kasalar yazılım korumalı ve HSM korumalı (Donanım Güvenlik Modülü) anahtarlarını destekler. Yönetilen HSM'ler yalnızca HSM korumalı anahtarları destekler.
| Kaynak türü | Anahtar koruma yöntemleri | Veri düzlemi uç nokta temel URL'si |
|---|---|---|
| Kasalar | Yazılım korumalı ve HSM korumalı (Premium SKU ile) |
https://{vault-name}.vault.azure.net |
| Yönetilen HSM'ler | HSM korumalı | https://{hsm-name}.managedhsm.azure.net |
- Kasalar - Kasalar, en yaygın bulut uygulaması senaryoları için uygun düşük maliyetli, dağıtımı kolay, çok kiracılı, bölgeye karşı (varsa) yüksek oranda kullanılabilir bir anahtar yönetimi çözümü sağlar.
- Yönetilen HSM'ler - Yönetilen HSM, şifreleme anahtarlarınızı depolamak ve yönetmek için tek kiracılı, bölgeye karşı (kullanılabilir), yüksek oranda kullanılabilir HSM'ler sağlar. Yüksek değerli anahtarların iş kolu olan uygulamalar ve kullanım senaryoları için en uygundur. Ayrıca en sıkı güvenlik, uyumluluk ve mevzuat gereksinimlerini karşılamaya da yardımcı olur.
Not
Kasalar ayrıca şifreleme anahtarlarına ek olarak gizli diziler, sertifikalar ve depolama hesabı anahtarları gibi çeşitli nesne türlerini depolama ve yönetmenizi sağlar.
Şifreleme anahtarları Key Vault [JWK] JSON Web Anahtarı temsil eder. JavaScript Nesne Gösterimi (JSON) ve JavaScript Nesne İmzalama ve Şifreleme (BELIRTIMLER) özellikleri:
- JSON Web Anahtarı (JWK)
- JSON Web Şifrelemesi (JWE)
- JSON Web Algoritmaları (JWA)
- JSON Web İmzası (JWS)
Temel JWK/JWA belirtimleri, Azure Key Vault ve Yönetilen HSM uygulamalarına özgü anahtar türlerini etkinleştirmek için de genişletilmiştir.
HSM korumalı anahtarlar (HSM anahtarları olarak da adlandırılır) bir HSM'de (Donanım Güvenlik Modülü) işlenir ve her zaman HSM koruma sınırı olarak kalır.
- Kasalar, paylaşılan HSM arka uç altyapısında HSM anahtarlarını korumak için FIPS 140-2 Düzey 2 doğrulanmış HSM'leri kullanır.
- Yönetilen HSM, anahtarlarınızı korumak için FIPS 140-2 Düzey 3 doğrulanmış HSM modüllerini kullanır. Her HSM havuzu, aynı donanım altyapısını paylaşan diğer tüm HSM'lerden tam şifreleme yalıtımı sağlayan kendi güvenlik etki alanına sahip yalıtılmış tek kiracılı bir örnektir.
Bu anahtarlar tek kiracılı HSM havuzlarında korunur. RSA, EC ve simetrik anahtarı yumuşak biçimli olarak veya desteklenen bir HSM cihazından dışarı aktararak içeri aktarabilirsiniz. HSM havuzlarında da anahtar oluşturabilirsiniz. BYOK (kendianahtarını getir) belirtimsinde açıklanan yöntemi kullanarak HSM anahtarlarını içeri aktarıyorsanız, yönetilen HSM havuzlarına güvenli taşıma anahtarı malzemeleri sağlar.
Coğrafi sınırlar hakkında daha fazla bilgi için bkz. Microsoft Azure Merkezi
Anahtar türleri ve koruma yöntemleri
Key Vault RSA ve EC anahtarlarını destekler. Yönetilen HSM RSA, EC ve simetrik anahtarları destekler.
HSM ile korunan anahtarlar
| Anahtar türü | Kasalar (Premium SKU)) | Yönetilen HSM'ler |
|---|---|---|
| EC-HSM: Eliptik Eğri anahtarı | Desteklenen (P-256, P-384, P-521, P-256K) | Desteklenen (P-256, P-256K, P-384, P-521) |
| RSA-HSM: RSA anahtarı | Desteklenen (2048 bit, 3072 bit, 4096 bit) | Desteklenen (2048 bit, 3072 bit, 4096 bit) |
| oct-HSM: Simetrik anahtar | Desteklenmez | Desteklenen (128 bit, 192 bit, 256 bit) |
Yazılım korumalı anahtarlar
| Anahtar türü | Kasalar | Yönetilen HSM'ler |
|---|---|---|
| RSA: "Yazılım korumalı" RSA anahtarı | Desteklenen (2048 bit, 3072 bit, 4096 bit) | Desteklenmez |
| EC:"Yazılım korumalı" Eliptik Eğri anahtarı | Desteklenen (P-256, P-384, P-521, P-256K) | Desteklenmez |
Uyumluluk
| Anahtar türü ve hedef | Uyumluluk |
|---|---|
| Kasalarda yazılım korumalı anahtarlar (Premium & SKU'lar) | FIPS 140-2 Düzey 1 |
| Kasalarda HSM korumalı anahtarlar (Premium SKU) | FIPS 140-2 Level 2 |
| Yönetilen HSM'de HSM korumalı anahtarlar | FIPS 140-2 Düzey 3 |
Her anahtar türü, algoritma, işlem, öznitelik ve etiket hakkında ayrıntılı bilgi için bkz. Anahtar türleri, algoritmalar ve işlemler.
Kullanım Senaryoları
| Kullanılması gereken durumlar | Örnekler |
|---|---|
| Müşteri tarafından yönetilen anahtarlarla tümleşik kaynak sağlayıcıları için Azure sunucu tarafı veri şifrelemesi | - Azure Key Vault'de müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifrelemesi |
| İstemci tarafı veri şifrelemesi | - Azure Key Vault ile İstemci Tarafı Şifrelemesi |
| Anahtarsız TLS | - Temel İstemci Kitaplıklarını kullanma |