Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito di Azure include diversi ruoli predefiniti. È possibile assegnare questi ruoli a utenti, entità servizio, gruppi e identità gestite. Questo articolo fornisce un riferimento per questi ruoli e le operazioni consentite.
Per consentire a un'entità di eseguire un'operazione, è necessario assegnare loro un ruolo che concede loro le autorizzazioni per eseguire tali operazioni. Tutti questi ruoli e operazioni consentono di gestire le autorizzazioni solo per le operazioni del piano dati . Per le operazioni del piano di controllo , vedere Ruoli predefiniti di Azure e Controllo di accesso per il modulo di protezione hardware gestito: Piano di controllo e Controllo degli accessi in base al ruolo di Azure.
Per gestire le autorizzazioni del piano di controllo per la risorsa del modulo di protezione hardware gestito, è necessario usare il controllo degli accessi in base al ruolo di Azure. Alcuni esempi di operazioni del piano di controllo riguardano la creazione di un nuovo modulo di protezione hardware gestito o l'aggiornamento, lo spostamento o l'eliminazione di un modulo di protezione hardware gestito.
Ruoli predefiniti
Per consentire a un'entità di eseguire un'operazione, è necessario assegnare loro un ruolo che concede loro le autorizzazioni per eseguire tali operazioni.
Nella tabella seguente sono elencati i ruoli predefiniti per il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito. Ogni ruolo ha un ID univoco che può essere usato per assegnare il ruolo.
| Nome ruolo | Descrizione | Documento d'identità |
|---|---|---|
| Managed HSM Administrator | Concede le autorizzazioni per eseguire tutte le operazioni correlate al dominio di sicurezza, al backup completo e al ripristino e alla gestione dei ruoli. Non è consentito eseguire alcuna operazione di gestione delle chiavi. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Agente di crittografia HSM gestito | Concede le autorizzazioni per eseguire tutte le operazioni di gestione dei ruoli, eliminazione o ripristino delle chiavi eliminate ed esportazione delle chiavi. Non è consentito eseguire altre operazioni di gestione delle chiavi. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM Crypto User | Concede le autorizzazioni per eseguire tutte le operazioni di gestione delle chiavi, ad eccezione dell'eliminazione o del ripristino delle chiavi eliminate e delle chiavi di esportazione. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Amministratore dei criteri del modulo di protezione hardware gestito | Concede le autorizzazioni per creare ed eliminare assegnazioni di ruolo. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM Crypto Auditor | Concede le autorizzazioni di lettura per gli attributi chiave di lettura (ma non per l'uso). | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Utente di crittografia del servizio di crittografia del modulo di protezione hardware gestito | Concede le autorizzazioni per l'uso di una chiave per la crittografia del servizio. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Utente del rilascio del servizio di crittografia del modulo di protezione hardware gestito | Concede le autorizzazioni per rilasciare una chiave a un ambiente di esecuzione attendibile. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM Backup | Concede le autorizzazioni per eseguire un backup con chiave singola o intero modulo di protezione hardware. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Ripristino del modulo di protezione hardware gestito | Concede le autorizzazioni per eseguire il ripristino con chiave singola o intero modulo di protezione hardware. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operazioni consentite
Annotazioni
- Nella tabella seguente, una X indica che un ruolo è autorizzato a eseguire l'azione dei dati. Una cella vuota indica che il ruolo non dispone dell'autorizzazione per eseguire l'azione dei dati.
- Tutti i nomi delle azioni dati hanno il prefisso Microsoft.KeyVault/managedHsm, che viene omesso nella tabella per brevità.
- Tutti i nomi dei ruoli hanno il prefisso Managed HSM, che viene omesso nella tabella seguente per brevità.
| Azione dati | Amministratore | Crypto Officer | Crypto User | Amministratore criteri | Utente di crittografia del servizio di crittografia di crittografia | Copia di sicurezza | Crypto Auditor | Utente della versione di Crypto Service | Restaurare |
|---|---|---|---|---|---|---|---|---|---|
| Gestione del dominio di sicurezza | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Gestione delle chiavi | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Operazioni di crittografia chiave | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Gestione dei ruoli | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Gestione dei backup e del ripristino | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Passaggi successivi
- Vedere una panoramica del controllo degli accessi in base al ruolo di Azure.
- Vedere un'esercitazione sulla gestione dei ruoli del modulo di protezione hardware gestito.