次の方法で共有


HSM で保護されたキーを Key Vault にインポートする

Azure Key Vault の使用時にさらに安心感を高める場合、ハードウェア セキュリティ モジュール (HSM) でキーをインポートしたり、生成したりできます。キーは HSM の境界内から出ることはありません。 このシナリオは、多くの場合、Bring Your Own Key または BYOK と呼ばれています。 Azure Key Vault では、FIPS 140 適合の HSM を使用して、キーを保護します。

この機能は、21Vianet によって運営される Microsoft Azure では使用できません。

Note

Azure Key Vault の詳細については、「 What is Azure Key Vault? (Azure Key Vault とは)
HSM で保護されたキーの Key Vault 作成を含む入門チュートリアルについては、「Azure Key Vault とは」を参照してください。

サポートされている HSM

HSM で保護されたキーの Key Vault への転送は、使用する HSM に応じて 2 つの異なる方法でサポートされます。 次の表を使用して、HSM で保護された独自のキーを生成し、Azure Key Vault での使用のためにそれらのキーを転送する方法を決定します。

ベンダー名 ベンダーの種類 サポートされている HSM モデル サポートされている HSM キーの転送方法
Cryptomathic ISV (エンタープライズ キー管理システム) 以下を含む複数の HSM ブランドおよびモデル
  • nCipher
  • Thales
  • Utimaco
詳細については、Cryptomathic のサイトを参照してください
新しい BYOK の方法を使用する
Entrust 製造元、
サービスとしての HSM
  • HSM の nShield ファミリ
  • サービスとしての nShield
新しい BYOK の方法を使用する
Fortanix 製造元、
サービスとしての HSM
  • Self-Defending Key Management Service (SDKMS)
  • Equinix SmartKey
新しい BYOK の方法を使用する
Futurex 製造元、
サービスとしての HSM
  • CryptoHub
  • CryptoHub Cloud
  • KMES シリーズ 3
新しい BYOK の方法を使用する
IBM 製造元 IBM 476x、CryptoExpress 新しい BYOK の方法を使用する
Marvell Manufacturer 以下を含む LiquidSecurity のすべての HSM
  • ファームウェア バージョン 2.0.4 以降
  • ファームウェア バージョン 3.2 以降
新しい BYOK の方法を使用する
nCipher 製造元、
サービスとしての HSM
  • HSM の nShield ファミリ
  • サービスとしての nShield
方法 1: nCipher BYOK (非推奨)。 この方法がサポートされるのは、2021 年 6 月 30 日までとなります。
方法 2: 新しい BYOK の方法を使用する (推奨)
Entrust の行を参照してください。
Securosys SA 製造元、
サービスとしての HSM
Primus HSM ファミリ、Securosys Clouds HSM 新しい BYOK の方法を使用する
StorMagic ISV (エンタープライズ キー管理システム) 以下を含む複数の HSM ブランドおよびモデル
  • Utimaco
  • Thales
  • nCipher
詳細については、StorMagic のサイトを参照してください
新しい BYOK の方法を使用する
Thales Manufacturer
  • ファームウェア バージョンが 7.3 以降の Luna HSM 7 ファミリ
新しい BYOK の方法を使用する
Utimaco 製造元、
サービスとしての HSM
u.trust Anchor、CryptoServer 新しい BYOK の方法を使用する

次のステップ