我有一个 key 保管库,是几个月前创建并导入 key 的。我使用 SKU of premium 创建了保管库根据文档启用 Key Vault 对 HSM 的使用。我还将设置目标 = 的 key 导入到 HSM
Add-AzureKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMKey' -Destination 'HSM'
现在,我被要求验证 key 实际上是否受到硬件保护,但我找不到任何过于令人信服的属性来告诉我这一点。如果我运行:
Get-AzureKeyVaultKey -VaultName“Contoso”-KeyName“ITPfx”
我可以在 JSON“kty: RSA-HSM”中看到,其中软件保护 key 的 kty 值就是 RSA。这是我能看到的硬件和软件保护 key 之间的唯一区别。
这真的是判断 key 是否位于 key 保管库的 HSM 中的唯一方法吗?
或者有更直观的方法来确定这一点吗?
最佳答案
使用 PowerShell,这是我用来确定 key 是否受软件或 Hsm 保护的代码:
$keyInVault = Get-AzureKeyVaultKey -VaultName $keyVaultName -Name $keyName
$keyInVault.Key.Kty
输出将类似于:
RSA-HSM
所以,是的,使用 JSON 通常是唯一的方法。
关于Azure KeyVault : How to tell if a key is HSM protected,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32827673/