Místní předdefinované role RBAC pro spravované HSM
Místní řízení přístupu na základě role (RBAC) spravovaného HSM služby Azure Key Vault má několik předdefinovaných rolí. Tyto role můžete přiřadit uživatelům, instančním objektům, skupinám a spravovaným identitám.
Pokud chcete objektu zabezpečení povolit provádění operace, musíte jim přiřadit roli, která jim udělí oprávnění k provedení této operace. Všechny tyto role a operace umožňují spravovat oprávnění pouze pro operace roviny dat. Informace o operacích roviny správy najdete v tématu Předdefinované role Azure a zabezpečený přístup k vašim spravovaným modulům HSM.
Pokud chcete spravovat oprávnění řídicí roviny pro spravovaný prostředek HSM, musíte použít řízení přístupu na základě role v Azure (Azure RBAC). Mezi příklady operací řídicí roviny patří vytvoření nového spravovaného HSM nebo aktualizace, přesunutí nebo odstranění spravovaného HSM.
Předdefinované role
| Název role | Popis | ID |
|---|---|---|
| Správce spravovaného HSM | Uděluje oprávnění k provádění všech operací souvisejících s doménou zabezpečení, úplným zálohováním a obnovením a správou rolí. Není povoleno provádět žádné operace správy klíčů. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Spravovaný kryptografický pracovník HSM | Uděluje oprávnění k provádění veškeré správy rolí, mazání nebo obnovení odstraněných klíčů a export klíčů. Není povoleno provádět žádné jiné operace správy klíčů. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Spravovaný uživatel kryptografických modulů HSM | Uděluje oprávnění k provádění všech operací správy klíčů s výjimkou vyprázdnění nebo obnovení odstraněných klíčů a exportu klíčů. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Zásady spravovaného HSM Správa istrator | Uděluje oprávnění k vytváření a odstraňování přiřazení rolí. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Spravovaný kryptografický auditor HSM | Uděluje oprávnění ke čtení (ale ne k použití) klíčových atributů. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Uživatel šifrování spravované kryptografické služby HSM | Uděluje oprávnění k použití klíče pro šifrování služby. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Uživatel kryptografických služeb spravovaného HSM | Udělí oprávnění k vydání klíče důvěryhodnému spouštěcímu prostředí. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Zálohování spravovaného HSM | Uděluje oprávnění k provádění zálohování s jedním klíčem nebo celým HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Obnovení spravovaného HSM | Uděluje oprávnění k provedení obnovení jedním klíčem nebo celého HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Povolené operace
Poznámka:
- V následující tabulce X označuje, že role může provádět akci s daty. Prázdná buňka označuje, že role nemá oprávnění k provedení této akce dat.
- Všechny názvy akcí dat mají předponu Microsoft.KeyVault/managedHsm, která je v tabulce vynechána kvůli stručnosti.
- Všechny názvy rolí mají předponu Managed HSM, která je vynechána v následující tabulce pro stručnost.
| Akce dat | Správce | Kryptografický důstojník | Crypto User | Správa istrator zásad | Uživatel šifrování kryptografických služeb | Backup | Crypto Auditor | Uživatel vydání kryptografických služeb | Obnovení |
|---|---|---|---|---|---|---|---|---|---|
| Správa domény zabezpečení | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Správa klíčů | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Klíčové kryptografické operace | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Správa rolí | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Správa zálohování a obnovení | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Další kroky
- Podívejte se na přehled Azure RBAC.
- Prohlédnou si kurz správy rolí spravovaného HSM.