Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kontrol akses berbasis peran lokal (RBAC) HSM terkelola memiliki beberapa peran bawaan. Anda dapat menetapkan peran ini kepada pengguna, perwakilan layanan, grup, dan identitas terkelola. Artikel ini menyediakan referensi untuk peran ini dan operasi yang mereka izinkan.
Untuk mengizinkan prinsipal melakukan operasi, Anda harus menetapkan peran yang memberi mereka izin untuk melakukan operasi tersebut. Semua peran dan operasi ini memungkinkan Anda mengelola izin hanya untuk data plane operasi. Untuk operasi sarana kontrol , lihat Peran bawaan Azure dan Kontrol akses untuk HSM Terkelola: Sarana kontrol dan Azure RBAC.
Untuk mengelola izin sarana kontrol untuk sumber daya HSM Terkelola, Anda harus menggunakan kontrol akses berbasis peran Azure (Azure RBAC). Beberapa contoh operasi sarana kontrol adalah membuat HSM terkelola baru, atau untuk memperbarui, memindahkan, atau menghapus HSM terkelola.
Peran bawaan
Untuk mengizinkan prinsipal melakukan operasi, Anda harus menetapkan peran yang memberi mereka izin untuk melakukan operasi tersebut.
Tabel berikut mencantumkan peran bawaan untuk RBAC lokal HSM Terkelola. Setiap peran memiliki ID unik yang dapat digunakan untuk menetapkan peran.
| Nama peran | Deskripsi | ID |
|---|---|---|
| Administrator Managed HSM | Memberikan izin untuk melakukan semua operasi yang terkait dengan domain keamanan, pencadangan dan pemulihan penuh, dan manajemen peran. Tidak diizinkan untuk melakukan operasi manajemen kunci apa pun. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Petugas Kripto HSM Terkelola | Memberikan izin untuk melakukan semua manajemen peran, menghapus menyeluruh, atau memulihkan kunci yang dihapus, dan mengekspor kunci. Tidak diizinkan untuk melakukan operasi manajemen kunci lainnya. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Pengguna Kripto HSM Terkelola | Memberikan izin untuk melakukan semua operasi manajemen kunci kecuali menghapus menyeluruh atau memulihkan kunci yang dihapus dan mengekspor kunci. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrator Kebijakan HSM Terkelola | Memberikan izin untuk membuat dan menghapus penetapan peran. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditor Kripto HSM Terkelola | Memberikan izin baca untuk membaca (tetapi tidak menggunakan) atribut kunci. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Pengguna Enkripsi Layanan Kripto HSM Terkelola | Memberikan izin untuk menggunakan kunci untuk enkripsi layanan. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Pengguna Rilis Layanan Kripto HSM Terkelola | Memberikan izin untuk merilis kunci ke lingkungan eksekusi tepercaya. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Pencadangan HSM Terkelola | Memberikan izin untuk melakukan pencadangan kunci tunggal atau seluruh HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Pemulihan HSM Terkelola | Memberikan izin untuk melakukan pemulihan kunci tunggal atau seluruh HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operasi yang diizinkan
Nota
- Dalam tabel berikut, X menunjukkan bahwa peran diizinkan untuk melakukan tindakan data. Sel kosong menunjukkan bahwa peran tidak memiliki izin untuk melakukan tindakan data tersebut.
- Semua nama tindakan data memiliki awalan Microsoft.KeyVault/managedHsm, yang dihilangkan dalam tabel untuk memudahkan.
- Semua nama peran memiliki prefiks Managed HSM, yang dihilangkan dalam tabel berikut untuk brevity.
| Tindakan data | Administrator | Petugas Kripto | Pengguna Kripto | Administrator Kebijakan | Pengguna Enkripsi Layanan Kripto | Backup | Auditor Kripto | Pengguna Rilis Layanan Kripto | Pulihkan |
|---|---|---|---|---|---|---|---|---|---|
| manajemen domain Keamanan | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Manajemen kunci | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| operasi kriptografi Kunci | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| manajemen Peran | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| manajemen Pencadangan dan pemulihan | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Langkah berikutnya
- Lihat gambaran umum Azure RBAC.
- Lihat tutorial tentang manajemen peran HSM Terkelola.