將受 HSM 保護的金鑰匯入 Key Vault
為了加強保證,當您使用 Azure 金鑰保存庫時,您可以在硬體安全模組 (HSM) 中匯入或產生無需離開 HSM 界限的金鑰。 此案例通常稱為「自備金鑰」(BYOK)。 Azure Key Vault 使用 HSM 的 nCipher nShield 系列 (已經過 FIPS 140-2 Level 2 驗證) 來保護您的金鑰。
此功能不適用於 Azure China 21Vianet。
注意
如需 Azure 金鑰保存庫的詳細資訊,請參閱 什麼是 Azure 金鑰保存庫?
如需入門教學課程 (包括建立受 HSM 保護之金鑰的金鑰保存庫),請參閱什麼是 Azure Key Vault?。
支援的 HSM
根據您所使用的 HSM,透過兩種不同的方法來支援將受 HSM 保護的金鑰傳輸至 Key Vault。 使用下表來判斷應該使用哪一種方法來產生 HSM,然後傳輸您自己的受 HSM 保護金鑰,以與 Azure Key Vault 搭配使用。
| 廠商名稱 | 廠商類型 | 支援的 HSM 模型 | 支援的 HSM 金鑰傳輸方法 |
|---|---|---|---|
| Cryptomathic | ISV (企業金鑰管理系統) | 多個 HSM 品牌和型號,包括
|
使用新的 BYOK 方法 |
| Entrust | 製造商, HSM 即服務 |
|
使用新的 BYOK 方法 |
| Fortanix | 製造商, HSM 即服務 |
|
使用新的 BYOK 方法 |
| IBM | 製造商 | IBM 476x、CryptoExpress | 使用新的 BYOK 方法 |
| Marvell | 製造商 | 所有 LiquidSecurity HSM,具有
|
使用新的 BYOK 方法 |
| nCipher | 製造商, HSM 即服務 |
|
方法1:nCipher BYOK (已淘汰)。 2021 年 6 月 30 日之後將不再支援此方法 方法2:使用新的 BYOK 方法 (建議) 請參閱上方的 Entrust 資料列 |
| Securosys SA | 製造商, HSM 即服務 |
Primus HSM 系列,Securosys Clouds HSM | 使用新的 BYOK 方法 |
| StorMagic | ISV (企業金鑰管理系統) | 多個 HSM 品牌和型號,包括
|
使用新的 BYOK 方法 |
| Thales | 製造商 |
|
使用新的 BYOK 方法 |
| Utimaco | 製造商, HSM 即服務 |
u.trust Anchor、CryptoServer | 使用新的 BYOK 方法 |
後續步驟
- 請檢閱 Key Vault 安全性概觀,以確保金鑰的安全性、耐久性和監視。
- 如需新 BYOK 方法的完整說明,請參閱 BYOK 規格