Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
客户管理的密钥(CMK)是一种密钥管理控制模式,其中密钥加密密钥(KEK)由您拥有和管理,存储在您自己的 Azure 密钥保管库 或 Azure 托管 HSM 实例中。 Azure服务使用您的KEK通过信封加密来封装和解封他们的数据加密密钥。 对于受 HSM 保护的密钥,请使用Azure 密钥保管库高级层或Azure托管 HSM。
以下服务支持使用客户管理的密钥进行服务器端加密。 有关实现详细信息,请参阅特定于服务的文档或服务的 Microsoft Cloud 安全基准:安全基线(DP-5 部分)。
人工智能和机器学习
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure AI 搜索 | 是的 | 是的 | |
| Azure AI 文档智能 | 是的 | Azure AI 文档智能静态数据加密 | |
| Azure 机器人服务 | 是的 | Azure 机器人服务 中的机器人数据加密 | |
| Azure 机器学习 | 是的 | Azure 机器学习 中用于工作区加密的客户管理的密钥 | |
| Dynamics 365 | 是的 | 是的 | 加密的客户托管密钥 |
| Power Platform | 是的 | 是的 | Power Platform 中的客户托管密钥 |
| 自定义问题解答 | 是的 | 有关静态数据的加密的自定义问题解答 | |
| Azure 语音 | 是的 | 是的 | 语音服务的静态数据加密 |
Analytics
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure 数据资源管理器 | 是的 | 在 Azure 数据资源管理器 中配置客户管理的密钥(CMK) | |
| Azure 数据工厂 | 是的 | 是的 | 使用客户管理的密钥进行 Azure 数据工厂 加密 |
| Azure Databricks | 是的 | 是的 | 客户管理密钥的托管服务 |
| Azure HDInsight | 是的 | Azure HDInsight静态数据的双重加密 | |
| Azure Monitor Application Insights | 是的 | Azure Monitor 中的客户托管密钥 | |
| Azure Monitor Log Analytics | 是的 | 是的 | Azure Monitor 中的客户托管密钥 |
| Azure 流分析 | 是* | 是的 | Azure 流分析 中的数据保护 |
| Azure Synapse Analytics | 是(RSA 3072 位) | 是的 | 使用客户托管密钥配置静态加密 |
| Power BI Embedded | 是的 | 使用自己的密钥进行Power BI加密(预览版) |
容器
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Kubernetes 服务 | 是的 | 是的 | 在 AKS 群集节点上启用主机加密 |
| 容器实例 | 是的 | 使用客户托管密钥加密数据 | |
| 容器注册表 | 是的 | 使用客户托管密钥加密容器镜像 |
计算
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| 应用服务 | 是* | 是的 | 为 App Service 配置客户管理的密钥 |
| Azure Functions | 是* | 是的 | 配置客户管理的密钥用于 Azure Functions |
| Azure HPC 缓存 | 是的 | 使用客户管理的密钥与HPC 缓存 | |
| Azure 托管应用程序 | 是* | 是的 | Azure托管应用程序概述 |
| Azure 门户 | 是* | 是的 | Azure 门户中的 安全性 |
| 虚拟机规模集 | 是的 | 是的 | 托管磁盘加密选项概述 |
| 虚拟机 | 是的 | 是的 | 托管磁盘加密选项概述 |
Databases
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Cosmos DB | 是的 | 是的 | 使用 Azure 密钥保管库 配置客户管理的密钥 |
| Azure Database for MySQL - 灵活服务器 | 是的 | 是的 | 在 Azure Database for MySQL 灵活服务器中使用客户管理的密钥进行数据加密 |
| Azure Database for PostgreSQL - 灵活服务器 | 是的 | 是的 | 在 Azure Database for PostgreSQL 灵活服务器中使用客户管理的密钥进行数据加密 |
| Azure SQL 数据库 | 是(RSA 3072 位) | 是的 | 为透明数据加密(TDE)提供“自带密钥”(BYOK)的支持 |
| Azure SQL 托管实例 | 是(RSA 3072 位) | 是的 | 对透明数据加密 (TDE) 提供自带密钥 (BYOK) 的支持 |
| Azure VM 上的 SQL Server | 是的 | 配置 Azure VM 上的 SQL Server 与 Azure 密钥保管库 的集成 | |
| 虚拟机上的 SQL Server | 是的 | Azure 虚拟机上的 SQL Server 透明数据加密 | |
| SQL Server Stretch Database | 是(RSA 3072 位) | ||
| 表格存储 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
整合
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Fluid Relay | 是的 | 是的 | Azure Fluid Relay 的客户托管密钥 |
| 事件中心 | 是的 | 是的 | 配置加密的客户托管密钥 |
| 逻辑应用程序 | 是的 | ||
| 服务总线 | 是的 | 是的 | 配置加密的客户托管密钥 |
IoT 服务
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| IoT 中心设备预配 | 是的 |
管理和治理
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| 应用配置 | 是的 | 使用客户管理的密钥加密数据 | |
| 自动化 | 是的 | 自动化资产的加密 | |
| Azure Migrate | 是的 | Tutorial:将 VMware VM 迁移到 Azure | |
| Azure Monitor | 是的 | 是的 | Azure Monitor 中的客户管理的密钥 |
媒体
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| 媒体服务 | 是的 | 将您自己的加密密钥用于 Azure 媒体服务 |
安全性
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure 信息保护 | 是的 | 是的 | 如何管理和保护 Azure权限管理加密密钥? |
| Microsoft Defender for Cloud | 是的 | 是的 | Azure Monitor 中的客户托管密钥 |
| Microsoft Sentinel | 是的 | 是的 | Microsoft Sentinel 中的静态数据加密 |
存储
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| 存档存储 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| Azure 备份 | 是的 | 是的 | 使用客户托管密钥加密备份数据 |
| Azure Data Box | 是的 | 使用客户托管密钥保护你的 Data Box | |
| Blob 存储 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| Data Lake Storage Gen2 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| 磁盘存储 | 是的 | 是的 | 适用于 Windows 和 Linux 虚拟机的主机加密 |
| 文件存储 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| 文件同步 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| Managed 磁盘存储 | 是的 | 是的 | 适用于 Windows 和 Linux 虚拟机的主机加密 |
| Premium Blob 存储 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| 队列存储 | 是的 | 是的 | 用于Azure 存储加密的客户托管密钥 |
| Ultra 磁盘存储 | 是的 | 是的 | 适用于 Windows 和 Linux 虚拟机的主机加密 |
Other
| 产品、功能或服务 | 密钥库 (密钥保管库) | 托管的 HSM | Documentation |
|---|---|---|---|
| 通用打印 | 是的 | 是的 | 通用打印 中的数据加密 |
注意事项
* 此服务支持将数据存储在自己的密钥保管库、存储帐户或其他数据持久化服务中,该服务已支持使用客户管理的密钥进行服务器端加密。
** 任何临时存储在磁盘上的暂时性数据(例如页面文件或交换文件)都使用Microsoft密钥(所有层)或客户管理的密钥(使用企业和企业闪存层)进行加密。
相关内容
- Microsoft Azure 的数据加密模型
Azure 中加密的使用 - 双重加密