Helyi RBAC beépített szerepkörök felügyelt HSM-hez
Az Azure Key Vault felügyelt HSM helyi szerepköralapú hozzáférés-vezérlése (RBAC) számos beépített szerepkört biztosít. Ezeket a szerepköröket felhasználókhoz, szolgáltatásnevekhez, csoportokhoz és felügyelt identitásokhoz rendelheti.
Ahhoz, hogy egy tag végrehajthasson egy műveletet, hozzá kell rendelnie egy szerepkört, amely engedélyeket ad nekik a műveletek végrehajtásához. Mindezek a szerepkörök és műveletek lehetővé teszik, hogy csak az adatsík-műveletek engedélyeit kezelje. A felügyeletisík-műveletekről az Azure beépített szerepkörei és a felügyelt HSM-ekhez való biztonságos hozzáférés című témakörben olvashat.
A felügyelt HSM-erőforrás vezérlősík-engedélyeinek kezeléséhez Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) kell használnia. A vezérlősík műveleteinek néhány példája egy új felügyelt HSM létrehozása, illetve felügyelt HSM frissítése, áthelyezése vagy törlése.
Beépített szerepkörök
| Szerepkör neve | Leírás | ID (Azonosító) |
|---|---|---|
| Felügyeleti HSM rendszergazdája | Engedélyeket ad a biztonsági tartományhoz, a teljes biztonsági mentéshez és visszaállításhoz, valamint a szerepkör-kezeléshez kapcsolódó összes művelet végrehajtásához. Kulcskezelési műveletek végrehajtása nem engedélyezett. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Felügyelt HSM crypto officer | Engedélyeket ad a szerepkörök kezelésének, a törölt kulcsok törlésének vagy helyreállításának, valamint az exportálási kulcsok végrehajtásához. Más kulcskezelési műveletek végrehajtása nem engedélyezett. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Felügyelt HSM-titkosítási felhasználó | Engedélyeket ad az összes kulcskezelési művelet végrehajtásához, kivéve a törölt kulcsok és exportálási kulcsok törlését vagy helyreállítását. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Felügyelt HSM-házirend-rendszergazda | Engedélyeket ad a szerepkör-hozzárendelések létrehozásához és törléséhez. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Felügyelt HSM Crypto Auditor | Olvasási engedélyeket ad a kulcsattribútumok olvasásához (de nem használható). | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Felügyelt HSM titkosítási szolgáltatás titkosítási felhasználója | Engedélyeket ad a kulcsok szolgáltatástitkosításhoz való használatához. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Felügyelt HSM titkosítási szolgáltatás kiadási felhasználója | Engedélyeket ad egy kulcs megbízható végrehajtási környezethez való kiadásához. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Felügyelt HSM biztonsági mentése | Engedélyeket ad az egykulcsos vagy teljes HSM-alapú biztonsági mentés végrehajtásához. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Felügyelt HSM-visszaállítás | Engedélyeket ad az egykulcsos vagy teljes HSM-visszaállítás végrehajtásához. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Engedélyezett műveletek
Feljegyzés
- Az alábbi táblázatban az X azt jelzi, hogy egy szerepkör végrehajthatja az adatműveletet. Egy üres cella azt jelzi, hogy a szerepkör nem rendelkezik az adatművelet végrehajtásához szükséges kihagyásokkal.
- Az összes adatművelet neve rendelkezik a Microsoft.KeyVault/managedHsm előtaggal, amely a rövidség kedvéért nem szerepel a táblában.
- Minden szerepkörnév rendelkezik a Felügyelt HSM előtaggal, amely a rövidség kedvéért az alábbi táblázatban nem szerepel.
| Adatművelet | Rendszergazda | Kriptográfiai tisztviselő | Titkosítási felhasználó | Házirend-rendszergazda | Titkosítási szolgáltatás titkosítási felhasználója | Backup | Crypto Auditor | Titkosítási szolgáltatás kiadási felhasználója | Visszaállítás |
|---|---|---|---|---|---|---|---|---|---|
| Biztonsági tartománykezelés | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Kulcskezelés | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /kulcsok/elforgatás/művelet | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Fő titkosítási műveletek | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Szerepkör-kezelés | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Biztonsági mentés és visszaállítás kezelése | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Következő lépések
- Tekintse meg az Azure RBAC áttekintését.
- Tekintse meg a felügyelt HSM-szerepkörök kezeléséről szóló oktatóanyagot.