Azure 密钥保管库提供两种类型的资源来存储和管理加密密钥。 保管库支持受软件保护和受 HSM(硬件安全模块)保护的密钥。 托管 HSM 仅支持受 HSM 保护的密钥。
| 资源类型 | 密钥保护方法 | 数据平面终结点基 URL |
|---|---|---|
| 保管库 | 受软件保护且受 HSM 保护(高级 SKU 中的 HSM 密钥类型) | https://<vault-name>.vault.azure.cn |
| 托管硬件安全模块 (HSM) | 受 HSM 保护 | https://<hsm-name>.managedhsm.chinacloudapi.cn |
- 保管库 - 保管库提供低成本、易部署、多租户、区域复原(若可用)且高度可用的密钥管理解决方案,适用于最常见的云应用程序方案。
- 托管 HSM - 托管 HSM 提供单租户、高度可用的 HSM 来存储和管理加密密钥。 非常适用于处理重要密钥的应用程序和使用方案。 还有助于满足最严格的安全性、合规性和法规要求。
注意
本文介绍密钥保管库(保管库)中的密钥。 有关特定于托管 HSM 的详细信息,请参阅托管 HSM 中的密钥以及密钥类型、算法和操作(托管 HSM)。
注意
除了加密密钥外,保管库还能让你存储和管理多种类型的对象(如机密、证书和存储帐户密钥)。
密钥保管库中的加密密钥表示为 JSON Web 密钥 [JWK] 对象。 JavaScript 对象表示法 (JSON) 和 JavaScript 对象签名和加密 (JOSE) 规范如下:
此外,还扩展了基本 JWK/JWA 规范,使密钥类型对Azure 密钥保管库实现是唯一的。
文件库中的 HSM 密钥受 HSM 保护;软件密钥不受 HSM 保护。
存储在保管库中的密钥受益于通过 FIPS 140 验证的 HSM 实现的可靠保护。 有两个不同的 HSM 平台可用:HSM 平台 1,它使用 FIPS 140-2 级别 2 保护密钥版本和 HSM 平台 2,它使用 FIPS 140-3 级别 3 HSM 保护密钥,具体取决于密钥的创建时间。 现在,所有新的密钥和密钥版本都使用 HSM 平台 2 创建。 若要确定哪个 HSM 平台正在保护密钥版本,请获取其 hsmPlatform 属性。
有关地理边界的详细信息,请参阅 Azure 信任中心
密钥类型和保护方法
密钥保管库高级和标准版支持 RSA 和 EC 密钥。 对于对称(oct-HSM/AES)密钥,请使用 托管 HSM。
受 HSM 保护的密钥(密钥保管库高级版)
| 密钥类型 | 大小/曲线 |
|---|---|
| EC-HSM:椭圆曲线密钥 | P-256、P-384、P-521、secp256k1/P-256K |
| RSA-HSM:RSA 密钥 | 2048 位、3072 位、4096 位 |
受软件保护的密钥(密钥保管库标准和高级版)
| 密钥类型 | 大小/曲线 |
|---|---|
| RSA:受软件保护的 RSA 密钥 | 2048 位、3072 位、4096 位 |
| EC:软件保护的椭圆曲线密钥 | P-256、P-384、P-521、secp256k1/P-256K |
有关托管 HSM 支持,请参阅 “关于托管 HSM 中的密钥”。
合规性
| 密钥类型和目标 | 合规性 |
|---|---|
| 保管库中受软件保护的 (HSM 平台 0) 密钥 | FIPS 140-2 级别 1 |
| 保管库中的 HSM 平台 1 受保护密钥(高级 SKU) | FIPS 140-2 级别 2 |
| 保管库中的 HSM 平台 2 受保护密钥(高级 SKU) | FIPS 140-3 级别 3 |
抗量子、量子安全或量子后加密
“抗量子”、“量子安全”和“后量子”密码学都是用于描述被认为能够抵抗来自经典计算机和量子计算机的加密分析攻击的密码算法的术语。” 用于托管 HSM 提供的 AES 算法的 oct-HSM 256 位密钥具有抗量子性。 有关详细信息,请参阅 商业国家安全算法套件 2.0 和量子计算常见问题解答。
有关每种密钥类型、算法、操作、属性和标记的详细信息,请参阅密钥类型、算法和操作。
使用场景
| 何时使用 | 示例 |
|---|---|
| 使用客户管理的密钥为集成资源提供程序Azure服务器端数据加密 | |
| 客户端数据加密 | |
| 无键 TLS | - 使用键客户端库 |