Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El control de acceso basado en rol (RBAC) local de HSM administrado de Azure tiene varios roles integrados. Puede asignar estos roles a usuarios, entidades de servicio, grupos e identidades administradas. En este artículo se proporciona una referencia para estos roles y las operaciones que permiten.
Para permitir que una entidad de seguridad realice una operación, debe asignarles un rol que les conceda permisos para realizar esas operaciones. Todos estos roles y operaciones permiten administrar permisos solo para operaciones de plano de datos. Para las operaciones del plano de control , consulte Roles integrados de Azure y Control de acceso para HSM administrado: Plano de control y RBAC de Azure.
Para administrar los permisos del plano de control para el recurso HSM administrado, debe usar control de acceso basado en rol (Azure RBAC) de Azure. Algunos ejemplos de operaciones del plano de control son crear un HSM administrado o actualizar, mover o eliminar un HSM administrado.
Roles integrados
Para permitir que una entidad de seguridad realice una operación, debe asignarles un rol que les conceda permisos para realizar esas operaciones.
En la tabla siguiente se enumeran los roles integrados para RBAC local de HSM administrado. Cada rol tiene un identificador único que se puede usar para asignar el rol.
| Nombre del rol | Descripción | identificación |
|---|---|---|
| Managed HSM Administrator | Concede permisos para realizar todas las operaciones relacionadas con el dominio de seguridad, la copia de seguridad completa y la restauración y la administración de roles. No se permite realizar ninguna operación de administración de claves. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Agente criptográfico de HSM administrado | Concede permisos para realizar toda la administración de roles, purgar o recuperar claves eliminadas y exportar claves. No se permite realizar ninguna otra operación de administración de claves. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM Crypto User | Concede permisos para realizar todas las operaciones de administración de claves, excepto purgar o recuperar claves eliminadas y exportar claves. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrador de directivas de HSM administrado | Concede permisos para crear y eliminar asignaciones de roles. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM Crypto Auditor | Concede permisos de lectura para leer (pero no usar) atributos clave. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Usuario de cifrado de servicio criptográfico de HSM administrado | Concede permisos para usar una clave para el cifrado de servicios. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Usuario de la versión del servicio criptográfico de HSM administrado | Concede permisos para liberar una clave en un entorno de ejecución de confianza. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM Backup | Concede permisos para realizar una copia de seguridad de HSM completa o de clave única. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauración de HSM administrada | Concede permisos para realizar la restauración de una sola clave o de HSM completa. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operaciones permitidas
Nota:
- En la tabla siguiente, una X indica que se permite que un rol realice la acción de datos. Una celda vacía indica que el rol no tiene permiso para realizar esa acción de datos.
- Todos los nombres de acción de datos tienen el prefijo Microsoft.KeyVault/managedHsm, que se omite en la tabla para mayor brevedad.
- Todos los nombres de rol tienen el prefijo HSM administrado, que se omite en la tabla siguiente para mayor brevedad.
| Acción de datos | Administrador | Responsable de cifrado | Usuario criptográfico | Administrador de directivas | Usuario de Cifrado de servicios criptográficos | Copia de seguridad | Auditor criptográfico | Usuario de la versión del servicio Crypto | Restaurar |
|---|---|---|---|---|---|---|---|---|---|
| administración de dominios de seguridad | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Administración de claves | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| de operaciones criptográficas clave | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| de administración de roles de | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| administración de copias de seguridad y restauración | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Pasos siguientes
- Consulte información general sobre RBAC de Azure.
- Consulte un tutorial sobre administración de roles de HSM administrado.