现已正式发布 Key Vault 自带密钥 (BYOK)

现已正式发布将密钥导入 Azure Key Vault 的新方式。

将密钥从本地 HSM 导入 Key Vault HSM 的过程通常被称为自带密钥 (BYOK)。Key Vault 自 2015 年发布后，支持使用 nCipher HSM 的 BYOK。

借助新的 BYOK 方法，Azure 客户可使用任何受支持的本地 HSM 来生成密钥并将其导入 Key Vault。很多客户偏向于使用本地 HSM 来生成密钥，以满足法规或符合性要求。

新方法支持将受 HSM 保护的密钥安全传输到 Key Vault HSM。要传输的密钥绝不以纯文本的形式存在于 HSM 外部。在导入过程中，密钥使用 Azure Key Vault 的 HSM 中存储的密钥进行保护。 原始方法（现成为 nCipher BYOK）将在一段时间后被弃用。强烈建议客户开始使用这种新方法将受 HSM 保护的密钥导入到 Key Vault。

随着本次公告，现还提供新 BYOK 方法的规范，让 HSM 供应商能够向其客户提供 BYOK 工具。有了它，独立软件供应商和客户还可实现 BYOK 过程的自动化以满足其需求。

有关详细信息（包括受支持的 HSM 的列表），请参阅将受 HSM 保护的密钥导入 Key Vault（预览）。