常见问题

• 我可在密钥保管库中存储什么？

  可在 Key Vault 存储以下类型的密钥和机密：

  • 可以在 HSM 中导入或生成密钥，并始终将其锁定在 HSM 范围内。当要求 Key Vault 服务使用一个密钥解密或签名时，将在 HSM 内部执行该操作。
  • 你还可以使用 HSM 中的密钥进行加密。在这种情况下，与在 HSM 内部相反，将在软件中执行加密操作。这些计算都以 Azure 计算角色执行。
  • 机密是少于 10_KB 的数据，如应用程序可以明文存储和检索的密码或 .PFX 文件。Key Vault 服务可保存使用 HSM 支持的密钥加密的机密，并提供针对这些机密的访问控制层。

  除了密钥和机密，还可以存储和管理从公共证书颁发机构购买的 SSL/TLS 证书并通过 Key Vault 自动注册或续订证书（如果 Key Vault 目前支持该公共证书颁发机构）。

• 操作是如何定义的？

  每个已成功通过身份验证的 REST API 调用都计为一个操作。

  密钥操作示例 - 创建、导入、获取、列出、备份、还原、删除、更新、签名、验证、包装、解包、加密和解密。请注意，操作收取的费用可能因密钥的类型而异(例如，对 2,048 位 RSA 密钥与 4,096 位 RSA 密钥执行的操作会按不同计量以不同价格计费，如上面的定价部分所述)。

  机密操作示例 - 创建/更新、获取、列出。

  证书操作示例 - 创建、更新策略、联系、导入、续订或更新证书。请注意，证书续订操作的成本与证书的所有其他操作的成本是分开的。

• 针对执行的操作我如何付费？

  针对所有密钥（软件保护的密钥和 HSM 保护的密钥）、密文密码和证书的操作都按固定费率计费，每 10,000 个操作 ￥0.305, 证书续订请求除外，其为每次续订￥30.528。示例 - A) 在一个计费周期内，对 HSM 保护的密钥执行 2,000 个操作、对软件保护的密钥执行 1,000 个操作、对机密执行 500 个操作。那么在该计费周期内，你将需要支付 3,500 个操作的费用。B) 在给定计费周期内，对 20 个证书执行 500 个操作，则其中 2 个证书也会由 Key Vault 续订。将会按 500 个操作和 2 个证书续订请求对你进行计费。

• 如何对我的HSM密钥计费？

  在 Azure Key Vault HSM 中生成或导入的每个密钥都将作为单独的密钥收费。仅当密钥在前 30 天内至少使用过一次(基于密钥的创建周年日期)时，才会向你收取密钥费用。请注意，如果存储了给定密钥的多个(历史)版本，则每个版本都将被视为单独的密钥进行计费。

  实例：

  • 你在密钥保管库中添加三个受 HSM 保护的密钥。在接下来的 30 天内，你将使用第一个密钥 10,000 次，第二个密钥一次，根本不使用第三个密钥。对于此 30 天 期间，你将需要为 2 HSM 密钥单元付费。例如，如果这些密钥是 2,048 位 RSA 密钥，则需 支付 2 x ￥10.176/密钥/月 = ￥20.352，如果这些密钥是 3,072 位 RSA 密钥，则需支付 2 x ￥50.88/密钥/月 = ￥101.76。
  • 你在密钥保管库中有 1 个受 HSM 保护的密钥。该密钥有 5 个历史版本，因为你已更改密钥的值四次。 在过去 30 天内，你使用了其中 2 个版本，并且没有接触其他三个版本。对于 2,048 位 RSA 密钥，在本示例中需付费 ￥20.352，而 对于高级密钥类型，在本示例中需付费 ￥101.76。
  • 请注意，对受 HSM 保护的密钥执行的任何操作都将单独收费，并且将在 HSM 密钥费用之外收取。
• Azure Key Vault 是否有设置费？

  否，Azure Key Vault 没有设置费。

• 如果我的 HSM 保护密钥仅使用不到一个月，我将如何付费？

  HSM 密钥费用不是根据启用时间长度按比例确定的。我们只对过去 30 天内至少使用过一次的 HSM 密钥计费（基于该密钥的创建周年日）。

• 我能否将 Key Vault 用于第三方应用程序？

  是，你可以授权托管在任何位置（如 Microsoft Azure、第三方云或本地）的任何应用程序使用 Key Vault 中存储的密钥。

• 如果我的应用程序使用其他 Azure 订户创建的密钥，我是否为使用该密钥付费？

  否。只有密钥所有者才需要付费。