Azure Key Vault の使用時にさらに安心感を高める場合、ハードウェア セキュリティ モジュール (HSM) でキーをインポートしたり、生成したりできます。キーは HSM の境界内から出ることはありません。 このシナリオは、多くの場合、Bring Your Own Key または BYOK と呼ばれています。 Azure Key Vault では、FIPS 140 適合の HSM を使用して、キーを保護します。
注
Azure Key Vault の詳細については、「 What is Azure Key Vault? (Azure Key Vault とは)
HSM で保護されたキーの Key Vault 作成を含む入門チュートリアルについては、「Azure Key Vault とは」を参照してください。
サポートされている HSM
HSM で保護されたキーの Key Vault への転送は、使用する HSM に応じて 2 つの異なる方法でサポートされます。 次の表を使用して、HSM で保護された独自のキーを生成し、Azure Key Vault での使用のためにそれらのキーを転送する方法を決定します。
| ベンダー名 | ベンダーの種類 | サポートされている HSM モデル | サポートされている HSM キーの転送方法 |
|---|---|---|---|
| Cryptomathic | ISV (エンタープライズ キー管理システム) | 以下を含む複数の HSM ブランドおよびモデル
|
新しい BYOK の方法を使用する |
| 任せる | 製造元、 サービスとしての HSM |
|
新しい BYOK の方法を使用する |
| Fortanix | 製造元、 サービスとしての HSM |
|
新しい BYOK の方法を使用する |
| Futurex | 製造元、 サービスとしての HSM |
|
新しい BYOK の方法を使用する |
| アイビーエム | 製造元 | IBM 476x、CryptoExpress | 新しい BYOK の方法を使用する |
| マーベル | 製造元 | 以下を含む LiquidSecurity のすべての HSM
|
新しい BYOK の方法を使用する |
| nCipher | 製造元、 サービスとしての HSM |
|
方法 1:nCipher BYOK (非推奨)。 この方法がサポートされるのは、2021 年 6 月 30 日までとなります。 方法 2:新しい BYOK の方法を使用する (推奨) Entrust の行を参照してください。 |
| Securosys SA | 製造元、 サービスとしての HSM |
Primus HSM ファミリ、Securosys Clouds HSM | 新しい BYOK の方法を使用する |
| StorMagic | ISV (エンタープライズ キー管理システム) | 以下を含む複数の HSM ブランドおよびモデル
|
新しい BYOK の方法を使用する |
| タレス | 製造元 |
|
新しい BYOK の方法を使用する |
| Utimaco | 製造元、 サービスとしての HSM |
u.trust Anchor、CryptoServer | 新しい BYOK の方法を使用する |
| Yubico | 製造元 | YubiHSM 2 | 新しい BYOK の方法を使用する |
次のステップ
- Key Vault のセキュリティの概要を読んで、キーのセキュリティ、持続性、監視を徹底します。
- 新しい BYOK の方法の詳細については、BYOK の仕様に関するページを参照してください