A Managed HSM szerepkörkezelése
Feljegyzés
A Key Vault kétféle erőforrást támogat: tárolókat és felügyelt HSM-eket. Ez a cikk a felügyelt HSM-ről szól. Ha szeretné megtudni, hogyan kezelheti a tárolókat, olvassa el a Key Vault kezelése az Azure CLI használatával című témakört.
A felügyelt HSM áttekintése: Mi a felügyelt HSM? Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Ez a cikk bemutatja, hogyan kezelheti a felügyelt HSM-adatsíkok szerepköreit. A felügyelt HSM-hozzáférés-vezérlési modellről a Felügyelt HSM hozzáférés-vezérlés című témakörben olvashat.
Ahhoz, hogy egy biztonsági tag (például felhasználó, szolgáltatásnév, csoport vagy felügyelt identitás) felügyelt HSM-adatsík-műveleteket hajthasson végre, hozzá kell rendelnie egy szerepkört, amely lehetővé teszi a műveletek végrehajtását. Ha például azt szeretné, hogy egy alkalmazás egy kulcs használatával végezzen aláírási műveletet, hozzá kell rendelnie egy olyan szerepkört, amely a "Microsoft.KeyVault/managedHSM/keys/sign/action" elemet tartalmazza az adatműveletek egyikeként. Egy szerepkör hozzárendelhető egy adott hatókörhöz. A felügyelt HSM helyi RBAC két hatókört támogat, a HSM széles (/ vagy /keys) és kulcsonként (/keys/<keyname>).
A felügyelt HSM beépített szerepköreinek és az általuk engedélyezett műveleteknek a listáját a felügyelt HSM beépített szerepkörei között találja.
Előfeltételek
A cikkben szereplő Azure CLI-parancsok használatához a következő elemeket kell tartalmaznia:
- Egy Microsoft Azure-előfizetés. Ha még nincs fiókja, regisztráljon egy ingyenes próbaverzióra.
- Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Felügyelt HSM az előfizetésben. Tekintse meg a rövid útmutatót: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM kiépítéséhez és aktiválásához.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Lehetőség | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.
A kód vagy parancs futtatásához válassza az Enter lehetőséget .
Bejelentkezés az Azure-ba
Ha be szeretne jelentkezni az Azure-ba a parancssori felülettel, írja be a következőt:
az login
A cli-n keresztüli bejelentkezési lehetőségekről további információt az Azure CLI-vel való bejelentkezéssel kapcsolatban talál .
Új szerepkör-hozzárendelés létrehozása
Szerepkörök hozzárendelése az összes kulcshoz
A parancs használatával az keyvault role assignment create hozzárendelhet egy felügyelt HSM titkosítási felhasználói szerepkört a ContosoHSM összes kulcsához (hatóköréhez/keys) tartozó felhasználónév user2@contoso.com által azonosított felhasználóhoz.
az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto User" --assignee user2@contoso.com --scope /keys
Szerepkör hozzárendelése egy adott kulcshoz
A parancs használatával az keyvault role assignment create hozzárendelhet egy felügyelt HSM-titkosítási felhasználói szerepkört egy myrsakey nevű kulcs egyszerű felhasználóneve user2@contoso.com által azonosított felhasználóhoz.
az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto User" --assignee user2@contoso.com --scope /keys/myrsakey
Meglévő szerepkör-hozzárendelések listázása
Szerepkör-hozzárendelések listázására használható az keyvault role assignment list .
Minden szerepkör-hozzárendelés hatókörben / (alapértelmezett, ha nincs megadva --scope) az összes felhasználóhoz (alapértelmezett, ha nincs megadva --assignee)
az keyvault role assignment list --hsm-name ContosoMHSM
Az adott felhasználó user1@contoso.comHSM szintjén lévő összes szerepkör-hozzárendelés.
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user@contoso.com
Feljegyzés
Ha a hatókör / (vagy /keys) a listaparancs csak az összes szerepkör-hozzárendelést listázza a legfelső szinten, és nem jeleníti meg a szerepkör-hozzárendeléseket az egyes kulcsszinteken.
Egy adott felhasználó user2@contoso.com összes szerepkör-hozzárendelése egy adott kulcs myrsakey-hez.
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey
Adott szerepkör-hozzárendelés egy adott felhasználóhoz user2@contoso.com felügyelt HSM-titkosítási tisztviselőhöz egy adott kulcs myrsakey-hez
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey --role "Managed HSM Crypto Officer"
Szerepkör-hozzárendelés törlése
A parancs használatával az keyvault role assignment delete törölheti a felhasználóhoz user2@contoso.com rendelt felügyelt HSM crypto officer szerepkört a key myrsakey2 kulcshoz.
az keyvault role assignment delete --hsm-name ContosoMHSM --role "Managed HSM Crypto Officer" --assignee user2@contoso.com --scope /keys/myrsakey2
Az összes elérhető szerepkör-definíció listázása
A parancs használatával az keyvault role definition list listázhatja az összes szerepkördefiníciót.
az keyvault role definition list --hsm-name ContosoMHSM
Új szerepkördefiníció létrehozása
A felügyelt HSM számos beépített (előre definiált) szerepkört kínál, amelyek a leggyakoribb használati helyzetekben hasznosak. Saját szerepkörét azoknak a műveleteknek a listájával határozhatja meg, amelyeket a szerepkör végrehajthat. Ezután hozzárendelheti ezt a szerepkört a tagokhoz, hogy engedélyt adjon nekik a megadott műveletekhez.
A parancs használatával az keyvault role definition create egy Saját egyéni szerepkör nevű szerepkört használhat JSON-sztring használatával.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition '{
"roleName": "My Custom Role",
"description": "The description of the custom rule.",
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/managedHsm/keys/read/action"
],
"notDataActions": []
}'
Parancs használata az keyvault role definition create egy szerepkörre egy my-custom-role-definition.json nevű fájlból, amely egy szerepkördefiníció JSON-sztringét tartalmazza. Lásd a fenti példát.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition @my-custom-role-definition.json
Szerepkördefiníció részleteinek megjelenítése
A parancs használatával az keyvault role definition show megtekintheti egy adott szerepkördefiníció részleteit a névvel (GUID) használva.
az keyvault role definition show --hsm-name ContosoMHSM --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Egyéni szerepkördefiníció frissítése
A parancs használatával az keyvault role definition update JSON-sztring használatával frissíthet egy Saját egyéni szerepkör nevű szerepkört.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition '{
"roleName": "My Custom Role",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"id": "Microsoft.KeyVault/providers/Microsoft.Authorization/roleDefinitions/xxxxxxxx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"description": "The description of the custom rule.",
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/managedHsm/keys/read/action",
"Microsoft.KeyVault/managedHsm/keys/write/action",
"Microsoft.KeyVault/managedHsm/keys/backup/action",
"Microsoft.KeyVault/managedHsm/keys/create"
],
"notDataActions": []
}'
Egyéni szerepkör-definíció törlése
A parancs használatával az keyvault role definition delete megtekintheti egy adott szerepkördefiníció részleteit a névvel (GUID) használva.
az keyvault role definition delete --hsm-name ContosoMHSM --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Feljegyzés
A beépített szerepkörök nem törölhetők. Az egyéni szerepkörök törlésekor az egyéni szerepkört használó összes szerepkör-hozzárendelés megszűnik.
Következő lépések
- Tekintse meg az Azure szerepköralapú hozzáférés-vezérlésének (Azure RBAC) áttekintését.
- A felügyelt HSM-szerepkörök kezelésével kapcsolatos oktatóanyag megtekintése
- További információ a felügyelt HSM-hozzáférés-vezérlési modellről
- A felügyelt HSM helyi RBAC összes beépített szerepkörének megtekintése