Azure 中的金鑰管理
在 Azure 中,加密金鑰可以是平台代控或客戶自控。
平台代控金鑰 (PMK) 是由 Azure 產生、儲存且完全管理的加密金鑰。 客戶不會與 PMK 互動。 例如,用於 Azure 資料待用加密的金鑰預設為 PMK。
另一方面,客戶自控金鑰 (CMK) 是可由一或多個客戶讀取、建立、刪除、更新和/或管理的金鑰。 儲存在客戶自有金鑰保存庫或硬體安全模組 (HSM) 中的金鑰是 CMK。 攜帶您自己的金鑰 (BYOK) 是 CMK 案例,其中客戶會將金鑰從外部儲存位置匯入 (帶入) Azure 金鑰管理服務 (請參閱 Azure Key Vault:攜帶您自己的金鑰規格 (機器翻譯))。
有一種特定類型的客戶自控金鑰是「金鑰加密金鑰」(KEK)。 KEK 是主要金鑰,可控制對一或多個本身加密之加密金鑰的存取。
客戶自控金鑰可以儲存在內部部署或更常見的雲端金鑰管理服務中。
Azure 金鑰管理服務
Azure 提供了幾種選項,可用來儲存和管理雲端中的金鑰,包括 Azure Key Vault、Azure 受控 HSM、Azure 專用 HSM 和 Azure 付款 HSM。 這些選項在 FIPS 合規性層級、管理負擔和預定應用程式方面有所不同。
如需每個金鑰管理服務的概觀,以及選擇正確金鑰管理解決方案的完整指南,請參閱如何選擇正確的金鑰管理解決方案。
定價
Azure Key Vault 標準層和進階層的計費以交易為準,進階硬體支援金鑰需每月支付每個金鑰的額外費用。 受控 HSM、專用 HSM 和付款 HSM 的收費並非以交易為基礎,而是按照每小時固定費率來收取持續使用中的裝置費用。 如需詳細的價格資訊,請參閱 Key Vault 價格、專用 HSM 價格和付款 HSM 價格。
服務限制
受控 HSM、專用 HSM 和付款 HSM 提供專用容量。 Key Vault 標準層和進階層是多租用戶供應項目,而且有節流限制。 如需服務限制,請參閱 Key Vault 服務限制。
待用加密
Azure Key Vault 和 Azure Key Vault 受控 HSM 與 Azure 服務和客戶受控金鑰的 Microsoft 365 整合,這表示客戶可以在 Azure Key Vault 和 Azure 金鑰受控 HSM 中使用自己的金鑰,以便對這些服務中儲存的資料進行待用加密。 專用 HSM 和付款 HSM 是基礎結構即服務供應項目,而且不提供與 Azure 服務的整合。 如需 Azure Key Vault 與受控 HSM 的待用加密的相關概觀,請參閱 Azure 資料待用加密。
API
專用 HSM 和付款 HSM 支援 PKCS#11、JCE/JCA 和 KSP/CNG API,但 Azure Key Vault 和受控 HSM 則不支援。 Azure Key Vault 和受控 HSM 會使用 Azure Key Vault REST API 並提供 SDK 支援。 如需 Azure Key Vault API 的詳細資訊,請參閱 Azure Key Vault REST API 參考。