你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 HSM 保护的密钥导入 Key Vault
为了提高可靠性,在使用 Azure 密钥保管库时,可以在硬件安全模块 (HSM) 中导入或生成永不离开 HSM 边界的密钥。 这种情况通常被称为自带密钥,简称 BYOK。 Azure Key Vault 使用 FIPS 140 验证 HSM 来保护密钥。
此功能不适用于由 21Vianet 运营的 Microsoft Azure。
注意
有关 Azure 密钥保管库的详细信息,请参阅什么是 Azure 密钥保管库?
如需包括为受 HSM 保护的密钥创建密钥保管库的入门教程,请参阅什么是 Azure 密钥保管库?。
支持的 HSM
通过两种不同的方法(具体取决于所使用的 HSM)支持将受 HSM 保护的密钥传输到 Key Vault。 使用此表确定应该对 HSM 使用哪种方法来生成和传输你自己的受 HSM 保护的密钥,以便将其与 Azure Key Vault 一起使用。
| 供应商名称 | 供应商类型 | 支持的 HSM 模型 | 支持的 HSM 密钥传输方法 |
|---|---|---|---|
| Cryptomathic | ISV(企业密钥管理系统) | 多个 HSM 品牌和型号,包括
|
使用新的 BYOK 方法 |
| Entrust | 制造商, HSM 即服务 |
|
使用新的 BYOK 方法 |
| Fortanix | 制造商, HSM 即服务 |
|
使用新的 BYOK 方法 |
| IBM | 制造商 | IBM 476x, CryptoExpress | 使用新的 BYOK 方法 |
| Marvell | 制造商 | 所有具有以下固件版本的 LiquidSecurity HSM
|
使用新的 BYOK 方法 |
| nCipher | 制造商, HSM 即服务 |
|
方法 1:nCipher BYOK(已弃用)。 2021 年 6 月 30 日之后将不再支持此方法 方法 2:使用新的 BYOK 方法(推荐) 请参阅“Entrust”行。 |
| Securosys SA | 制造商, HSM 即服务 |
Primus HSM 系列,Securosys Clouds HSM | 使用新的 BYOK 方法 |
| StorMagic | ISV(企业密钥管理系统) | 多个 HSM 品牌和型号,包括
|
使用新的 BYOK 方法 |
| Thales | 制造商 |
|
使用新的 BYOK 方法 |
| Utimaco | 制造商, HSM 即服务 |
u.trust Anchor, CryptoServer | 使用新的 BYOK 方法 |
后续步骤
- 查看 Key Vault 安全性概述,确保密钥的安全性、持久性和监视性。
- 有关新的 BYOK 方法的完整说明,请参阅 BYOK 规范