Tentang kunci
Azure Key Vault menyediakan dua jenis sumber daya untuk menyimpan dan mengelola kunci kriptografi. Vault mendukung kunci yang dilindungi perangkat lunak dan dilindungi HSM (Modul Keamanan Perangkat Keras). HSM terkelola hanya mendukung kunci yang dilindungi HSM.
| Jenis Sumber Daya | Metode perlindungan kunci | URL dasar titik akhir data-pesawat |
|---|---|---|
| Vault | Dilindungi perangkat lunak dan dilindungi HSM (jenis kunci HSM di SKU Premium) | https://{vault-name}.vault.azure.net |
| HSM terkelola | Dilindungi HSM | https://{hsm-name}.managedhsm.azure.net |
- Vaults - Vaults menyediakan solusi manajemen kunci yang murah, mudah diterapkan, multi-penyewa, tahan zona (jika tersedia), sangat tersedia, cocok untuk sebagian besar skenario aplikasi cloud umum.
- HSM Terkelola - HSM Terkelola menyediakan HSM penyewa tunggal yang sangat tersedia untuk menyimpan dan mengelola kunci kriptografi Anda. Paling cocok untuk aplikasi dan skenario penggunaan yang menangani kunci bernilai tinggi. Juga membantu memenuhi persyaratan keamanan, kepatuhan, dan peraturan yang paling ketat.
Catatan
Vault juga memungkinkan Anda untuk menyimpan dan mengelola beberapa jenis objek seperti rahasia, sertifikat, dan kunci akun penyimpanan, selain kunci kriptografi.
Kunci kriptografi di Azure Key Vault direpresentasikan sebagai objek JSON Web Key [JWK]. Spesifikasi JavaScript Object Notation (JSON) dan JavaScript Object Signing and Encryption (JOSE) adalah:
Spesifikasi dasar JWK/JWA juga diperluas untuk mengaktifkan jenis kunci yang unik untuk implementasi Azure Key Vault dan HSM terkelola.
Kunci HSM dalam vault dilindungi oleh HSM; Kunci perangkat lunak tidak dilindungi oleh HSM.
- Kunci yang disimpan dalam vault mendapat manfaat dari perlindungan yang kuat menggunakan HSM yang divalidasi FIPS 140. Ada dua platform HSM berbeda yang tersedia: 1, yang melindungi versi kunci dengan FIPS 140-2 Level 2, dan 2, yang melindungi kunci dengan FIPS 140-2 Level 3 HSM tergantung pada kapan kunci dibuat. Semua kunci baru dan versi kunci sekarang dibuat menggunakan platform 2 (kecuali geo Inggris). Untuk menentukan Platform HSM mana yang melindungi versi kunci, dapatkan hsmPlatform.
- Managed HSM menggunakan FIPS 140-2 Level 3 modul HSM tervalidasi untuk melindungi kunci Anda. Setiap kumpulan HSM adalah instans penyewa tunggal terisolasi dengan domain keamanannya sendiri yang menyediakan isolasi kriptografi lengkap dari semua HSM lain yang berbagi infrastruktur perangkat keras yang sama. Kunci HSM terkelola dilindungi dalam kumpulan HSM penyewa tunggal. Anda dapat mengimpor kunci RSA, EC, dan simetris, dalam bentuk lunak atau dengan mengekspor dari perangkat HSM yang didukung. Anda juga dapat menghasilkan kunci di kumpulan HSM. Ketika Anda mengimpor kunci HSM menggunakan metode yang dijelaskan dalam spesifikasi BYOK (bawa kunci Anda sendiri), ini memungkinkan bahan kunci transportasi yang aman ke dalam kumpulan HSM terkelola.
Untuk informasi selengkapnya tentang batas geografis, lihat Pusat Kepercayaan Microsoft Azure
Jenis kunci dan metode perlindungan
Key Vault mendukung kunci RSA dan EC. HSM terkelola mendukung kunci RSA, EC, dan simetris.
Kunci yang dilindungi HSM
| Jenis Kunci | Vault (khusus SKU Premium) | HSM Terkelola |
|---|---|---|
| EC-HSM: Kunci Kurva Elips | Didukung (P-256, P-384, P-521, secp256k1/P-256K) | Didukung (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: Kunci RSA | Didukung (2048-bit, 3072-bit, 4096-bit) | Didukung (2048-bit, 3072-bit, 4096-bit) |
| okt-HSM: Kunci simetris | Tidak didukung | Didukung (128-bit, 192-bit, 256-bit) |
Kunci yang dilindungi perangkat lunak
| Jenis Kunci | Vault | HSM Terkelola |
|---|---|---|
| RSA: kunci RSA “dilindungi perangkat lunak" | Didukung (2048-bit, 3072-bit, 4096-bit) | Tidak didukung |
| EC: Kunci Kurva Elips “dilindungi perangkat lunak" | Didukung (P-256, P-384, P-521, secp256k1/P-256K) | Tidak didukung |
Kepatuhan
| Jenis kunci dan tujuan | Kepatuhan |
|---|---|
| Kunci yang dilindungi perangkat lunak (hsmPlatform 0) dalam vault | FIPS 140-2 Level 1 |
| hsmPlatform 1 kunci yang dilindungi dalam vault (Premium SKU) | FIPS 140-2 Level 2 |
| hsmPlatform 2 kunci yang dilindungi di vault (Premium SKU) | FIPS 140-2 Level 3 |
| Kunci dalam HSM Terkelola selalu dilindungi HSM | FIPS 140-2 Level 3 |
Lihat Jenis kunci, algoritme, dan operasi untuk detail tentang setiap jenis kunci, algoritma, operasi, atribut, dan tag.
Skenario penggunaan
| Waktu menggunakan | Contoh |
|---|---|
| Enkripsi data sisi server Azure untuk penyedia sumber daya terintegrasi dengan kunci yang dikelola pelanggan | - Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan di Azure Key Vault |
| Enkripsi data sisi klien | - Enkripsi Client-Side dengan Azure Key Vault |
| TLS tanpa kunci | Pustaka klien relai |