Rôles intégrés RBAC locaux pour Managed HSM
Le contrôle d’accès en fonction du rôle (RBAC) local Azure Key Vault Managed HSM présente plusieurs rôles intégrés. Vous pouvez attribuer ces rôles à des utilisateurs, des principaux de service, des groupes et des identités managées.
Pour permettre à un principal d’effectuer une opération, vous devez lui attribuer un rôle qui lui en accorde l’autorisation. L’ensemble de ces rôles et de ces opérations vous permettent de gérer les autorisations uniquement pour les opérations de plan de données. Pour les opérations du plan de gestion, consultez les rôles intégrés Azure et Sécuriser l’accès à vos HSM managés.
Pour gérer les autorisations de plan de contrôle pour la ressource HSM managée, vous devez utiliser le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Voici quelques exemples d’opérations de plan de contrôle : créer un HSM managé, le mettre à jour, le déplacer ou le supprimer.
Rôles intégrés
| Nom de rôle | Description | id |
|---|---|---|
| Administrateur du HSM managé | Accorde les autorisations permettant d’effectuer toutes les opérations liées au domaine de sécurité, à la sauvegarde complète et à la restauration ainsi qu’à la gestion des rôles. Non autorisé à effectuer des opérations de gestion des clés. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Responsable du chiffrement du HSM managé | Accorde des autorisations pour effectuer toutes les opérations de gestion des rôles, vider ou récupérer des clés supprimées, et exporter des clés. Non autorisé à effectuer d’autres opérations de gestion des clés. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Utilisateur du chiffrement du HSM managé | Accorde les autorisations permettant d’effectuer toutes les opérations de gestion sur les clés à l’exception de leur suppression définitive, de la récupération des clés supprimées et de leur exportation. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrateur des stratégies du HSM managé | Accorde les autorisations permettant de créer et de supprimer des attributions de rôles. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditeur du chiffrement du HSM managé | Accorde les autorisations d’accès en lecture pour lire (mais pas utiliser) les attributs de clé. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Utilisateur du service de chiffrement du HSM managé | Accorde les autorisations permettant d’utiliser une clé pour le chiffrement du service. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Utilisateur de publication du service de chiffrement HSM managé | Octroie des autorisations pour libérer une clé dans un environnement d’exécution approuvé. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Sauvegarde du HSM managé | Accorde les autorisations permettant d’effectuer la sauvegarde d’une seule clé ou de l’intégralité du HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauration HSM managée | Octroie des autorisations pour effectuer une restauration à clé unique ou À HSM entière. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Opérations autorisées
Notes
- Dans le tableau suivant, le X indique que le rôle en question est autorisé à effectuer l’action sur les données. Une cellule vide indique que le rôle n’est pas autorisé à effectuer cette action sur les données.
- Tous les noms d’action sur les données ont le préfixe Microsoft.KeyVault/managedHsm, qui a été omis dans le tableau par souci de concision.
- Tous les noms de rôle ont le préfixe Managed HSM, qui a été omis dans le tableau suivant par souci de concision.
| Action sur les données | Administrateur | Crypto Officer | Utilisateur du chiffrement | Administrateur de la stratégie | Utilisateur du service de chiffrement | Backup | Auditeur du chiffrement | Utilisateur de publication de service de chiffrement | Restaurer |
|---|---|---|---|---|---|---|---|---|---|
| Gestion de domaine de sécurité | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Gestion des clés | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Opérations de chiffrement de clés | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Gestion des rôles | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Gestion des sauvegardes et des restaurations | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Étapes suivantes
- Consultez une vue d’ensemble d’Azure RBAC.
- Suivez un tutoriel sur la gestion des rôles Managed HSM.