Roles integrados de RBAC local para HSM administrado
El control de acceso basado en rol (RBAC) local de HSM administrado de Azure Key Vault tiene varios roles integrados. Puede asignar estos roles a usuarios, entidades de servicio, grupos e identidades administradas.
Para permitir que una entidad de seguridad realice una operación, debe asignarle un rol que le conceda permisos para llevar a cabo esa operación. Todos estos roles y operaciones le permiten administrar permisos solo para operaciones del plano de datos. Para las operaciones del plano de administración, consulte roles integrados de Azure y Acceso seguro a los HSM administrados.
Para administrar los permisos de plano de control del recurso de HSM administrado, debe usar el control de acceso basado en rol (Azure RBAC). Algunos ejemplos de operaciones en el plano de control son la creación de un nuevo HSM administrado o su actualización, traslado o eliminación.
Roles integrados
| Nombre de rol | Descripción | ID |
|---|---|---|
| Managed HSM Administrator | Concede permisos para realizar todas las operaciones relacionadas con el dominio de seguridad, la copia de seguridad completa y la restauración, y la administración de roles. No se permite realizar ninguna operación de administración de claves. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Managed HSM Crypto Officer | Concede permisos para realizar todas las tareas de administración de roles, purga o recuperación de claves eliminadas, y exportación de claves. No se permite realizar otras operaciones de administración de claves. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM Crypto User | Concede permisos para realizar todas las operaciones de administración de claves, excepto la purga o recuperación de claves eliminadas y la exportación de claves. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Managed HSM Policy Administrator | Concede permisos para crear y eliminar asignaciones de roles. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM Crypto Auditor | Concede permisos de lectura para leer (pero no usar) los atributos clave. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Usuario de cifrado del servicio de criptografía de HSM administrado | Concede permisos para usar una clave para el cifrado del servicio. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Usuario de la versión del servicio criptográfico de HSM administrado | Concede permisos para liberar una clave en un entorno de ejecución de confianza. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM Backup | Concede permisos para realizar una copia de seguridad de HSM completa o de clave única. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauración de HSM administrada | Concede permisos para realizar la restauración de una sola clave o de HSM completa. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operaciones permitidas
Nota:
- En la tabla siguiente, una X indica que un rol puede realizar la acción de datos. Una celda vacía indica que el rol no tiene permiso para realizar esa acción de datos.
- Todos los nombres de la acción de datos tienen el prefijo Microsoft.KeyVault/managedHsm, que se omite en la tabla para abreviar.
- Todos los nombres de roles tienen el prefijo Managed HSM, que se omite en la tabla siguiente para abreviar.
| Acción de datos | Administrador | Responsable de cifrado | Usuario de cifrado | Administrador de directivas | Usuario de cifrado del servicio criptográfico | Backup | Auditor de cifrado | Usuario de la versión del servicio Crypto | Restauración |
|---|---|---|---|---|---|---|---|---|---|
| Administración de dominios de seguridad | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Administración de claves | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Operaciones de cifrado de claves: | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Administración de roles | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Administración de copia de seguridad y restauración | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Pasos siguientes
- Consulte información general sobre RBAC de Azure.
- Consulte un tutorial sobre la Administración de roles de HSM administrado.