客户管理的密钥(CMK)是一种密钥管理控制模式,其中密钥加密密钥(KEK)由您拥有和管理,存储在您自己的 Azure Key Vault 或 Azure 托管 HSM 实例中。 Azure服务使用您的KEK通过信封加密来封装和解封他们的数据加密密钥。 对于受 HSM 保护的密钥,请使用Azure Key Vault高级层或Azure托管 HSM。
以下服务支持使用客户管理的密钥进行服务器端加密。 有关实现详细信息,请参阅特定于服务的文档或服务的 Microsoft Cloud 安全基准:安全基线(DP-5 部分)。
人工智能和机器学习
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure AI Search | 是的 | 是的 | |
| Azure AI Document Intelligence | 是的 | Azure AI Document Intelligence静态数据加密 | |
| Azure Bot Service | 是的 | Azure Bot Service 中的机器人数据加密 | |
| Azure Machine Learning | 是的 | Azure Machine Learning 中用于工作区加密的客户管理的密钥 | |
| Dynamics 365 | 是的 | 是的 | 加密的客户托管密钥 |
| Power Platform | 是的 | 是的 | Power Platform 中的客户托管密钥 |
| 自定义问题解答 | 是的 | 有关静态数据的加密的自定义问题解答 | |
| Azure 语音 | 是的 | 是的 | 语音服务的静态数据加密 |
Analytics
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Data Explorer | 是的 | 在 Azure Data Explorer 中配置客户管理的密钥(CMK) | |
| Azure Data Factory | 是的 | 是的 | 使用客户管理的密钥进行 Azure Data Factory 加密 |
| Azure Databricks | 是的 | 是的 | 客户管理密钥的托管服务 |
| Azure HDInsight | 是的 | Azure HDInsight静态数据的双重加密 | |
| Azure Monitor Application Insights | 是的 | Azure Monitor 中的客户托管密钥 | |
| Azure Monitor Log Analytics | 是的 | 是的 | Azure Monitor 中的客户托管密钥 |
| Azure Stream Analytics | 是* | 是的 | Azure Stream Analytics 中的数据保护 |
| Azure Synapse Analytics | 是(RSA 3072 位) | 是的 | 使用客户托管密钥配置静态加密 |
| Power BI Embedded | 是的 | 使用自己的密钥进行Power BI加密(预览版) |
容器
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Kubernetes Service | 是的 | 是的 | 在 AKS 群集节点上启用主机加密 |
| 容器实例 | 是的 | 使用客户托管密钥加密数据 | |
| 容器注册表 | 是的 | 使用客户托管密钥加密容器镜像 |
计算
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| 应用服务 | 是* | 是的 | 为 App Service 配置客户管理的密钥 |
| Azure Functions | 是* | 是的 | 配置客户管理的密钥用于 Azure Functions |
| Azure HPC Cache | 是的 | 使用客户管理的密钥与HPC Cache | |
| Azure Managed Applications | 是* | 是的 | Azure托管应用程序概述 |
| Azure 门户 | 是* | 是的 | Azure 门户中的 安全性 |
| 虚拟机规模集 | 是的 | 是的 | 托管磁盘加密选项概述 |
| 虚拟机 | 是的 | 是的 | 托管磁盘加密选项概述 |
Databases
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Cosmos DB | 是的 | 是的 | 使用 Azure Key Vault 配置客户管理的密钥 |
| Azure Database for MySQL - 灵活服务器 | 是的 | 是的 | 在 Azure Database for MySQL 灵活服务器中使用客户管理的密钥进行数据加密 |
| Azure Database for PostgreSQL - 灵活服务器 | 是的 | 是的 | 在 Azure Database for PostgreSQL 灵活服务器中使用客户管理的密钥进行数据加密 |
| Azure SQL Database | 是(RSA 3072 位) | 是的 | 为透明数据加密(TDE)提供“自带密钥”(BYOK)的支持 |
| Azure SQL Managed Instance | 是(RSA 3072 位) | 是的 | 为透明数据加密(TDE)提供“自带密钥”(BYOK)的支持 |
| Azure VM 上的 SQL Server | 是的 | 配置 Azure VM 上的 SQL Server 与 Azure Key Vault 的集成 | |
| SQL Server on Virtual Machines | 是的 | Azure 虚拟机上的 SQL Server 透明数据加密 | |
| SQL Server Stretch Database | 是(RSA 3072 位) | ||
| 表格存储 | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
整合
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Fluid Relay | 是的 | 是的 | Azure Fluid Relay 的客户托管密钥 |
| 事件中心 | 是的 | 是的 | 配置加密的客户托管密钥 |
| 逻辑应用程序 | 是的 | ||
| Service Bus | 是的 | 是的 | 配置加密的客户托管密钥 |
IoT 服务
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| IoT Hub设备预配 | 是的 |
管理和治理
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| 应用配置 | 是的 | 使用客户管理的密钥加密数据 | |
| 自动化 | 是的 | 自动化资产的加密 | |
| Azure Migrate | 是的 | Tutorial:将 VMware VM 迁移到 Azure | |
| Azure Monitor | 是的 | 是的 | Azure Monitor 中的客户托管密钥 |
媒体
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| 媒体服务 | 是的 | 将您自己的加密密钥用于 Azure Media Services |
安全性
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Azure Information Protection | 是的 | 是的 | 如何管理和保护 Azure权限管理加密密钥? |
| Microsoft Defender for Cloud | 是的 | 是的 | Azure Monitor 中的客户托管密钥 |
| Microsoft Sentinel | 是的 | 是的 | Microsoft Sentinel 中的静态数据加密 |
存储
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Archive Storage | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| Azure Backup | 是的 | 是的 | 使用客户托管密钥加密备份数据 |
| Azure Data Box | 是的 | 使用客户托管密钥保护你的 Data Box | |
| Blob Storage | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| Data Lake Storage Gen2 | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| Disk Storage | 是的 | 是的 | 适用于 Windows 和 Linux 虚拟机的主机加密 |
| 文件存储 | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| 文件同步 | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| Managed Disk Storage | 是的 | 是的 | 适用于 Windows 和 Linux 虚拟机的主机加密 |
| Premium Blob Storage | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| 队列存储 | 是的 | 是的 | 用于Azure Storage加密的客户托管密钥 |
| Ultra Disk Storage | 是的 | 是的 | 适用于 Windows 和 Linux 虚拟机的主机加密 |
Other
| 产品、功能或服务 | Key Vault | 托管的 HSM | Documentation |
|---|---|---|---|
| Universal Print | 是的 | 是的 | Universal Print 中的数据加密 |
注意事项
* 此服务支持将数据存储在自己的Key Vault、存储帐户或其他数据持久化服务中,该服务已支持使用客户管理的密钥进行服务器端加密。
** 任何临时存储在磁盘上的暂时性数据(例如页面文件或交换文件)都使用Microsoft密钥(所有层)或客户管理的密钥(使用企业和企业闪存层)进行加密。
相关内容
- Microsoft Azure 的数据加密模型
Azure 中加密的使用 - 双重加密