Azure 中的密钥管理

在 Azure 中，加密密钥可以由平台管理，也可以由客户管理。

平台管理的密钥 (PMK) 是完全由 Azure 生成、存储和管理的加密密钥。 客户不会与 PMK 交互。 例如，用于 Azure 数据静态加密的密钥默认就是 PMK。

另一方面，客户管理的密钥 (CMK) 是由一个或多个客户读取、创建、删除、更新和/或管理的密钥。 存储在客户拥有的密钥保管库或硬件安全模块 (HSM) 中的密钥是 CMK。 创建自己的密钥 (BYOK) 是一种 CMK 方案，在其中，客户将密钥从外部存储位置导入（引入）Azure 密钥管理服务（请参阅 Azure 密钥保管库：创建自己的密钥规范）。

“密钥加密密钥”(KEK) 是一种特定类型的客户管理的密钥。 KEK 是一种主密钥，用于控制对一个或多个本身已加密的加密密钥的访问。

客户管理的密钥可以存储在本地，但更常见的是存储在云密钥管理服务中。

Azure 密钥管理服务

Azure 提供了多种用于在云中存储和管理密钥的选项，包括 Azure Key Vault、Azure 托管 HSM、Azure 云 HSM 预览版、Azure 专用 HSM 和 Azure 支付 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。

若要简要了解各项密钥管理服务并获取有关选择合适的密钥管理解决方案的综合指南，请参阅如何选择正确的密钥管理解决方案。

定价

Azure 密钥保管库标准和高级层按交易计费，对于高级硬件支持的密钥，将按密钥每月收取额外的费用。 托管 HSM、云 HSM 预览、专用 HSM 和支付 HSM 不按事务性收费；它们是始终在线的设备，并按固定的每小时费率计费。 有关详细定价信息，请参阅密钥保管库定价、专用 HSM 定价和付款 HSM 定价。

服务限制

托管 HSM、云 HSM 预览版、专用 HSM 和付款 HSM 提供专用容量。 Key Vault Standard 和 Premium 是多租户产品，并且存在节流限制。 有关服务限制，请参阅密钥保管库服务限制。

静态加密

Azure Key Vault 和 Azure 托管 HSM 与 Azure 服务和 Microsoft 365 为客户托管密钥进行集成，这意味着客户可以使用自己的密钥在 Azure Key Vault 和 Azure 托管 HSM 中对存储在这些服务中的数据进行静态加密。 云 HSM 预览版、专用 HSM 和付款 HSM 是基础结构即服务产品/服务，不提供与 Azure 服务的集成。 有关使用 Azure 密钥保管库和托管 HSM 进行静态加密的概述，请参阅 Azure 数据静态加密。

API

云 HSM 预览版、专用 HSM 和付款 HSM 支持 PKCS#11、JCE/JCA 和 KSP/CNG API，但 Azure Key Vault 和托管 HSM 不支持。 Azure 密钥保管库和托管 HSM 使用 Azure 密钥保管库 REST API 并提供 SDK 支持。 有关 Azure 密钥保管库 API 的详细信息，请参阅 Azure 密钥保管库 REST API 参考。

后续步骤

• 如何选择合适的密钥管理解决方案
• Azure Key Vault
• Azure 托管 HSM
• Azure 云 HSM 预览版
• Azure 专用 HSM
• Azure 付款 HSM
• 什么是零信任？