Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
在Azure中,可以使用平台管理的加密密钥或客户管理的加密密钥。
Azure完全自行生成、存储和管理平台管理的密钥(PMK)。 无需与 PMK 交互。 例如,用于Azure静态数据加密的密钥默认为 PMK。
客户管理的密钥(CMK)是可以创建、删除、使用和管理的密钥。 可以将 CMK 存储在客户拥有的密钥保管库或硬件安全模块(HSM)中。 自带密钥(BYOK)是一种 CMK 方案,可在其中将密钥从外部存储位置导入Azure密钥管理服务。 有关详细信息,请参阅 Azure 密钥保管库:自带密钥规范。
密钥加密密钥(KEK)是一个主密钥,控制访问其所加密的一个或多个加密密钥。
可以将客户管理的密钥存储在本地,或者更常见的是存储在云密钥管理服务中。
Azure密钥管理服务
Azure提供了多种用于在云中存储和管理密钥的选项,包括Azure 密钥保管库、Azure 密钥保管库托管 HSM、Azure云 HSM 和Azure付款 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。
Azure 密钥保管库(标准层)
FIPS 140-2 级别 1 验证了多租户云密钥管理服务,可用于存储非对称密钥、机密和证书。 存储在Azure 密钥保管库中的密钥受软件保护,可用于静态加密和自定义应用程序。 Azure 密钥保管库 Standard 提供新式 API 和广泛的区域部署和与 Azure 服务的集成。 有关详细信息,请参阅 About Azure 密钥保管库。
Azure 密钥保管库 (高级层)
FIPS 140-3 级别 3 已验证、符合 PCI、多租户 HSM 的产品/服务,可用于存储非对称密钥、机密和证书。 使用 Marvell LiquidSecurity HSM*将密钥存储在安全硬件边界中。 Microsoft管理和操作基础 HSM。 可以使用存储在 Azure 密钥保管库 Premium 中的密钥进行静态加密和自定义应用程序。 Azure 密钥保管库 Premium 还提供新式 API 和广泛的区域部署,并与 Azure 服务集成。
重要
Azure集成 HSM:微软设计的 HSM 芯片直接嵌入到新的 Azure 服务器硬件(AMD D 和 E 系列 v7 预览版)中,符合 FIPS 140-3 三级标准。 这些防篡改芯片将加密密钥保留在安全硬件边界内,从而消除延迟和暴露风险。 默认情况下,集成 HSM 对于受支持的服务(如Azure 密钥保管库和Azure 存储加密)以透明方式运行,提供硬件强制信任,而无需进行其他配置。 此集成确保加密操作受益于硬件级安全隔离,同时保持云服务的性能和可伸缩性。
如果你是Azure 密钥保管库高级客户,需要确保关键主权、单租户或更高的每秒加密操作,可以考虑使用Azure 密钥保管库 托管 HSM。 密钥保管库 Premium 使用 Azure 运营的共享 HSM;对于需要客户拥有的信任根的工作负载,需要使用托管 HSM。 有关详细信息,请参阅 About Azure 密钥保管库。
Azure 密钥保管库 托管的 HSM
FIPS 140-3 级别 3 验证的单租户 HSM 产品/服务,使客户能够完全控制 HSM 的静态加密、无密钥 SSL/TLS 卸载和自定义应用程序。 Azure 密钥保管库 Managed HSM 是唯一提供机密密钥的密钥管理解决方案。 客户会收到一个由三个 HSM 分区组成(一起充当一个逻辑高可用性 HSM 设备)的池,该服务通过 密钥保管库 API 公开加密功能。 Microsoft处理 HSM 的预配、修补、维护和硬件故障转移,但无权访问密钥本身,因为该服务在Azure的机密计算基础结构中执行。 客户拥有和控制安全域,这是 HSM 的信任根 - 安全域丢失会导致所有密钥永久无法恢复的丢失。 Azure 密钥保管库托管 HSM 与 Azure SQL、Azure 存储 和 Azure 信息保护 PaaS 服务集成,并支持 F5 和 Nginx 的无密钥 TLS。 有关详细信息,请参阅 什么是 Azure 密钥保管库 托管 HSM?
Pricing
Azure 密钥保管库 标准层和高级层按事务计费,其中高级层的硬件支持密钥将按每个密钥每月额外收费。 Azure 密钥保管库 Managed HSM 不按事务性收费。 它们是始终使用的设备,按固定的小时费率计费。 有关详细的定价信息,请参阅 密钥保管库 定价、Cloud HSM 定价和 Payment HSM 定价。
服务限制
Azure 密钥保管库 托管 HSM 提供专用容量。 Azure 密钥保管库 标准版和高级版是多租户产品/服务,并且具有速率限制。 有关服务限制,请参阅 密钥保管库 服务限制。
静态加密
Azure 密钥保管库和Azure 密钥保管库托管 HSM 与客户托管密钥的 Azure 服务和Microsoft 365集成。 可以在Azure 密钥保管库和Azure 密钥保管库托管 HSM 中使用自己的密钥来加密存储在这些服务中的数据的其余部分。 有关使用 Azure 密钥保管库 和 Azure 密钥保管库 托管 HSM 进行静态加密的概述,请参阅 Azure 静态数据加密。
应用程序接口
Azure 密钥保管库和Azure 密钥保管库托管 HSM 不支持这些 API。 而是使用 Azure 密钥保管库 REST API 并提供 SDK 支持。 有关Azure 密钥保管库 API 的详细信息,请参阅 Azure 密钥保管库 REST API 参考。