通过对加密密钥的存储管理，Azure密钥保管库可以用作数据备份保护。让我们来探讨一下组织应该如何建立并管理该密钥库。

数据存储管理员总是竭尽全力的保护网络服务器及其内容，防范各类安全隐患。对于备份我们也必须给于同样的重视，以确保它们不会成为一个安全性漏洞。毕竟，备份本质上是一个组织数据的副本，但却处在数据通常所在的服务器的保护界限之外。

保护备份最简单的方法之一是加密。但是，如果没有周密的计划，备份加密有可能会导致数据丢失。这里就需要用到微软的Azure密钥保管库。

备份加密使用加密密钥。在某个备份设备例如磁带上可能会有一个软件或硬件级别的密钥。在任何情况下，加密的备份如果没有加密密钥就无法解密。想象这样一种情况，一个组织创建了一系列的基于磁带的加密备份，将他们送去异地保管，然后大火很不幸的烧毁了该组织的数据中心。然而，当该组织取回其备份磁带，想要恢复数据时，它必须有加密密钥的副本才能对数据进行解密，而这通常不会存在于备份磁带上。如果他们没有密钥，该组织则最终失去的数据量，就跟数据从未被备份所损失的一样多。

微软Azure密钥保管库存储加密密钥

Azure密钥保管库是一个基于云的服务，专门用来存储加密密钥和其他加密信息，如SQL Server的连接字符串和密码。它主要是使用联邦信息处理标准验证的硬件安全模块来实现的。

HSM是存储并保护加密密钥的物理设备。它们通常是一块连接到网络服务器的扩展卡或外设。虽然HSM并不是什么新的东西，但直到最近几年，微软才让基于云的HSM变为可能。

我们必须了解，微软Azure密钥库不仅仅存储加密密钥的备份副本，同时也管理应用对于某个密钥的访问权限。这使得Azure密钥库可以安全地在云中存储密钥，并防止密钥和其它加密信息的对外暴露。

设置Azure秘钥保管库

每个微软Azure的客户都可以创建一个专用的密钥库。由于组织拥有该Azure密钥库，所以对密钥库的使用就有着完全的控制。但是，创建一个密钥库仅仅是第一步。管理员必须让秘钥库能够完全配合备份应用。不幸的是，这里没有标准的方法来做到，因为每一个应用都是不同的。

让备份应用使用微软Azure密钥库，管理员必须先在微软Azure活动目录中注册该应用，然后使用Set-AzureRmKeyVaultAccessPolicy的cmdlet来授权该应用使用密钥库。

在大多数情况下，其他的IT人员 – 如备份操作员 – 需要被授权才能使用Azure密钥库。举个例子，存储管理员可能需要授予IT人员添加密钥到库中的权限。Set-AzureRmKeyVaultAccessPolicy的cmdlet可用于执行此任务。

访问策略配置好之后，我们必须设置备份应用来使用Azure密钥保管库。你需要使用Add-AzureKeyVaultKey的cmdlet来添加密钥到库中。如果备份应用使用其他类型的密文，你可以使用Set-AzureKeyVaultSecret的cmdlet来设置。无论这两种情况的哪一种，Azure都将提供对应于该密钥或密文的统一资源标识符。想要使用密钥库及其中的密钥，应用必须提供用户将密钥的URI添加到应用配置中的方式。

微软让一个Azure密钥库的建立以及增加新的密钥和密文到密钥库的任务变得相对容易。尽管硬件安全模块可以在本地使用，但这些装置往往是颇为昂贵的，而微软的Azure密钥保管库也许是个较为便宜的选择。