Azure Key Vault 定价：2026 年完整指南

infisical
发布于 2025-01-29 20:32
阅读 107

本文详细解析了 Azure Key Vault (AKV) 2026 年的定价模型。文章对比了标准版（软件保护密钥）与高级版（HSM 硬件保护密钥）的功能差异及收费标准，涵盖了秘密操作、证书管理及 RSA/ECC 密钥的具体开销。同时，文章分析了 AKV 在 Azure 生态中的集成优势，并指出了其在版本控制、审批流及代码扫描等方面的局限性，最后推荐了 Infisical 作为更具性价比的开源替代方案。

![Blog image](https://img.learnblockchain.cn/2026/04/24/89948913_image.webp)

## 什么是 Azure Key Vault？

[Azure Key Vault](https://azure.microsoft.com/en-us/products/key-vault) 是 Microsoft 的云端服务，用于安全地存储和管理加密密钥、机密信息和证书。它为敏感信息提供中心化存储和访问控制，帮助组织为部署在 Azure 或其他平台上的应用程序和服务维持强大的安全性。

该服务旨在使用硬件安全模块（HSM）保护加密密钥和其他机密信息，并提供全面的机密管理解决方案，可与其他 Azure 服务无缝集成。

## Azure Key Vault 服务层级

Azure Key Vault 提供两个不同的服务层级：

*   **标准层**：适用于大多数使用软件保护密钥的通用场景
*   **高级层**：为关键应用提供使用 HSM 保护密钥的增强安全性

> “软件保护密钥”和“HSM 保护密钥”用于区分在 Azure 云环境中由软件级加密保护的密钥，以及在经过 FIPS 140-2 验证的 HSM 内部受保护的密钥。这类似于 [Infisical KMS](https://infisical.com/docs/documentation/platform/kms/hsm-integration) 支持的两种加密策略。

## 标准层定价

标准层提供软件保护密钥，是满足一般安全需求最常用的选项。

### 操作定价

| 操作类型 | 价格 |
| --- | --- |
| 每次机密操作价格 | 每 10,000 次 $0.03 |
| 每次证书操作价格 | 每 10,000 次 $0.03 |
| 每次证书续订价格 | 每次续订请求 $3.00 |

> 每次 API 调用，例如 `create`、`get`、`list`、`update`、`delete`、`sign`、`verify`、`wrap`、`unwrap`、`encrypt` 和 `decrypt`，都算作一次操作。

## 高级层定价

高级层同时支持软件保护密钥和 HSM 保护密钥，为关键应用提供最高级别的安全性。

### Software-Protected Keys

*   遵循与标准层相同的定价结构

### HSM-Protected Keys

在硬件安全模块（HSM）中存储密钥有单独的定价结构：

| Key Type | 价格 |
| --- | --- |
| RSA 2048-bit | 每个 key 每月 $1.00 + 每 10,000 次 transactions $0.03 |
| RSA 3072-bit | 每个 key 每月 $5.00（前 250 个 keys） |
| RSA 4096-bit | 每个 key 每月 $5.00（前 250 个 keys） |
| ECC keys | 每个 key 每月 $5.00（前 250 个 keys） |

### 额外操作

| 操作类型 | 价格 |
| --- | --- |
| Secrets Operations | 每 10,000 次 transactions $0.03 |
| Certificate Operations | 每 10,000 次 transactions $0.03 |
| Certificate Renewals | 每次 renewal request $3.00 |
| Managed Azure Storage Account Key Rotation (Preview) | 每次 renewal $1.00 |

## 重要定价注意事项

*   开始使用 Azure Key Vault 无需支付设置费用
*   HSM 密钥费用不按比例分摊，而是根据前 30 天内的使用情况计费
*   Key Vault 可用于托管在任何地方的应用程序，而不仅限于 Azure
*   只有密钥所有者会因密钥使用而被计费

## 你应该使用 Azure Key Vault 吗？

### 优势

1.  **Azure 集成**：Azure Key Vault 可与其他 Azure 服务原生集成，非常适合在 Azure 生态系统内运行基础设施的组织，尤其适合使用 [Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/fundamentals/whatis) 进行身份验证的组织。
2.  **灵活的定价模型**：分层定价结构使组织能够根据自身需求扩展使用规模，同时保持安全性。
3.  **全面的安全特性**：
    *   硬件安全模块（HSM）保护
    *   用于精细控制的 [access policies](https://learn.microsoft.com/en-us/azure/key-vault/general/security-features#access-model-overview)
    *   [Azure Private Link](https://learn.microsoft.com/en-us/azure/private-link/private-link-overview) 集成
    *   强大的 [auditing and logging](https://learn.microsoft.com/en-us/azure/key-vault/general/logging?tabs=Vault) 能力

### 注意事项

1.  **成本管理**：虽然定价灵活，但随着密钥数量或交易量增加，成本可能会迅速上升。
2.  **Azure 生态系统**：虽然该服务可与托管在任何平台上的应用程序配合使用，但它本身是专为 Azure 生态系统集成而设计的。
3.  **学习曲线**：对于刚接触 Azure 的组织来说，在有效实施和管理 Key Vault 时可能会面临一定的学习曲线。

### Azure Key Vault 替代方案

阅读关于 Azure Key Vault 替代方案的内容请见 [这里](https://learnblockchain.cn/article/25262)。需要注意的是，Azure Key Vault 缺少开发者和组织通常需要的某些功能，例如：

*   [**Secret Versioning**](https://infisical.com/docs/documentation/platform/secret-versioning)：虽然 Azure Key Vault 确实支持 secret versioning，但 [它的使用体验并不十分友好](https://learn.microsoft.com/en-us/answers/questions/1346397/how-to-retrieve-the-value-of-an-old-version-of-the)。
*   [**Approval Workflows**](https://infisical.com/docs/documentation/platform/pr-workflows)：Azure Key Vault 不提供针对 secret access 的内置 approval workflows，而这对于维护安全性和合规性可能至关重要。
*   [**Temporary Access Controls**](https://infisical.com/docs/documentation/platform/access-controls/temporary-access)：Azure Key Vault 不为 secrets 提供 temporary access controls，而这对于向特定资源授予短期访问权限很有用。
*   [**Automated Code Scanning**](https://infisical.com/docs/cli/scanning-overview#secret-scanning)：Azure Key Vault 不提供针对 secrets 的 automated code scanning，这有助于识别并防止 secrets 泄露到代码仓库中。
*   [**Comprehensive Integration Options**](https://infisical.com/docs/integrations/app-connections/overview)：与其他解决方案相比，Azure Key Vault 的集成选项有限，这使得它对拥有多样化工具集的组织来说不够灵活。

[**Infisical**](https://infisical.com/) 提供了一套端到端工具，涵盖机密管理的所有这些方面，以及更多功能。它拥有更先进的功能集、价格更低，而且没有 vendor lock-in。

此外，Infisical 还是：

*   开源（[16,000+ GitHub stars](https://github.com/Infisical/infisical)）
*   可自托管（本地部署或云端）
*   平台无关（适用于任何云提供商或本地基础设施）
*   专注于 developer experience 和易用性
*   更实惠，尤其适合小团队

## 常见问题

### Azure Key Vault 可以免费使用吗？

虽然 Azure Key Vault 不提供完全免费的层级，但它采用按需付费模型，没有前期成本。你只需为所使用的密钥、机密信息和操作付费。该服务也包含在 Azure 免费层中，提供有限的使用量用于评估。

### Azure Key Vault 的定价与其他解决方案相比如何？

Azure Key Vault 的定价在云服务提供商领域具有竞争力，尤其适合已经在使用 Azure 服务的组织。不过，对于较小的团队或未大量投入 Azure 的组织，像 Infisical 这样的替代方案可能会提供更具成本效益、且具备类似或更多功能的解决方案。

### 我可以将 Azure Key Vault 与非 Azure 应用程序一起使用吗？

可以，Azure Key Vault 可用于托管在任何地方的应用程序，而不仅限于 Azure。不过，由于原生服务集成能力，Azure 托管应用程序的集成过程可能会更直接。

>- 原文链接： [infisical.com/blog/azure...](https://infisical.com/blog/azure-key-vault-pricing)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

什么是 Azure Key Vault？

Azure Key Vault 是 Microsoft 的云端服务，用于安全地存储和管理加密密钥、机密信息和证书。它为敏感信息提供中心化存储和访问控制，帮助组织为部署在 Azure 或其他平台上的应用程序和服务维持强大的安全性。

该服务旨在使用硬件安全模块（HSM）保护加密密钥和其他机密信息，并提供全面的机密管理解决方案，可与其他 Azure 服务无缝集成。

Azure Key Vault 服务层级

Azure Key Vault 提供两个不同的服务层级：

标准层：适用于大多数使用软件保护密钥的通用场景
高级层：为关键应用提供使用 HSM 保护密钥的增强安全性

“软件保护密钥”和“HSM 保护密钥”用于区分在 Azure 云环境中由软件级加密保护的密钥，以及在经过 FIPS 140-2 验证的 HSM 内部受保护的密钥。这类似于 Infisical KMS 支持的两种加密策略。

标准层定价

标准层提供软件保护密钥，是满足一般安全需求最常用的选项。

操作定价

操作类型	价格
每次机密操作价格	每 10,000 次 $0.03
每次证书操作价格	每 10,000 次 $0.03
每次证书续订价格	每次续订请求 $3.00

每次 API 调用，例如 create、get、list、update、delete、sign、verify、wrap、unwrap、encrypt 和 decrypt，都算作一次操作。

高级层定价

高级层同时支持软件保护密钥和 HSM 保护密钥，为关键应用提供最高级别的安全性。

Software-Protected Keys

遵循与标准层相同的定价结构

HSM-Protected Keys

在硬件安全模块（HSM）中存储密钥有单独的定价结构：

Key Type	价格
RSA 2048-bit	每个 key 每月 $1.00 + 每 10,000 次 transactions $0.03
RSA 3072-bit	每个 key 每月 $5.00（前 250 个 keys）
RSA 4096-bit	每个 key 每月 $5.00（前 250 个 keys）
ECC keys	每个 key 每月 $5.00（前 250 个 keys）

额外操作

操作类型	价格
Secrets Operations	每 10,000 次 transactions $0.03
Certificate Operations	每 10,000 次 transactions $0.03
Certificate Renewals	每次 renewal request $3.00
Managed Azure Storage Account Key Rotation (Preview)	每次 renewal $1.00

重要定价注意事项

开始使用 Azure Key Vault 无需支付设置费用
HSM 密钥费用不按比例分摊，而是根据前 30 天内的使用情况计费
Key Vault 可用于托管在任何地方的应用程序，而不仅限于 Azure
只有密钥所有者会因密钥使用而被计费

你应该使用 Azure Key Vault 吗？

优势

Azure 集成：Azure Key Vault 可与其他 Azure 服务原生集成，非常适合在 Azure 生态系统内运行基础设施的组织，尤其适合使用 Microsoft Entra ID 进行身份验证的组织。
灵活的定价模型：分层定价结构使组织能够根据自身需求扩展使用规模，同时保持安全性。
全面的安全特性：
- 硬件安全模块（HSM）保护
- 用于精细控制的 access policies
- Azure Private Link 集成
- 强大的 auditing and logging 能力

注意事项

成本管理：虽然定价灵活，但随着密钥数量或交易量增加，成本可能会迅速上升。
Azure 生态系统：虽然该服务可与托管在任何平台上的应用程序配合使用，但它本身是专为 Azure 生态系统集成而设计的。
学习曲线：对于刚接触 Azure 的组织来说，在有效实施和管理 Key Vault 时可能会面临一定的学习曲线。

Azure Key Vault 替代方案

阅读关于 Azure Key Vault 替代方案的内容请见这里。需要注意的是，Azure Key Vault 缺少开发者和组织通常需要的某些功能，例如：

Secret Versioning：虽然 Azure Key Vault 确实支持 secret versioning，但它的使用体验并不十分友好。
Approval Workflows：Azure Key Vault 不提供针对 secret access 的内置 approval workflows，而这对于维护安全性和合规性可能至关重要。
Temporary Access Controls：Azure Key Vault 不为 secrets 提供 temporary access controls，而这对于向特定资源授予短期访问权限很有用。
Automated Code Scanning：Azure Key Vault 不提供针对 secrets 的 automated code scanning，这有助于识别并防止 secrets 泄露到代码仓库中。
Comprehensive Integration Options：与其他解决方案相比，Azure Key Vault 的集成选项有限，这使得它对拥有多样化工具集的组织来说不够灵活。

Infisical 提供了一套端到端工具，涵盖机密管理的所有这些方面，以及更多功能。它拥有更先进的功能集、价格更低，而且没有 vendor lock-in。