Azure Managed HSM のローカル ロールベースのアクセス制御 (RBAC) には、いくつかの組み込みロールがあります。 これらのロールは、ユーザー、サービス プリンシパル、グループ、マネージド ID に割り当てることができます。 この記事では、これらのロールと、それらのロールが許可する操作のリファレンスを提供します。
プリンシパルが操作を実行できるようにするには、その操作を実行するためのアクセス許可を付与するロールを割り当てる必要があります。 これらすべてのロールと操作を使用すると、データ プレーンの 操作に対してのみアクセス許可を管理できます。 コントロール プレーンの操作については、「Managed HSM の Azure 組み込みロールとアクセス制御: コントロール プレーンと Azure RBAC」を参照してください。
Managed HSM リソースのコントロール プレーンのアクセス許可を管理するには、Azure ロールベースのアクセス制御 (Azure RBAC) 使用する必要があります。 コントロール プレーン操作の例としては、新しいマネージド HSM の作成や、マネージド HSM の更新、移動、削除があります。
組み込みロール
プリンシパルが操作を実行できるようにするには、その操作を実行するためのアクセス許可を付与するロールを割り当てる必要があります。
次の表に、Managed HSM ローカル RBAC の組み込みロールを示します。 各ロールには、ロールの割り当てに使用できる一意の ID があります。
| ロール名 | 説明 | 身分証明書 |
|---|---|---|
| Managed HSM 管理者 | セキュリティ ドメイン、完全バックアップと復元、ロール管理に関連するすべての操作を実行するためのアクセス許可を付与します。 キー管理操作の実行は許可されません。 | a290e904-7015-4bba-90c8-60543313cdb4 |
| Managed HSM Crypto Officer | すべてのロール管理、削除されたキーの消去または回復、およびキーのエクスポートを実行するアクセス許可を付与します。 他のキー管理操作の実行は許可されません。 | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM 暗号化ユーザー | 削除されたキーの消去または回復とキーのエクスポートを除くすべてのキー管理操作を実行するアクセス許可を付与します。 | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Managed HSM ポリシー管理者 | ロールの割り当てを作成および削除するためのアクセス許可を付与します。 | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM 暗号化監査担当者 | キー属性を読み取る (使用しない) 読み取りアクセス許可を付与します。 | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Managed HSM Crypto Service Encryption ユーザー | サービス暗号化にキーを使用するアクセス許可を付与します。 | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Managed HSM Crypto Service リリース ユーザー | 信頼された実行環境にキーを解放するアクセス許可を付与します。 | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM バックアップ | 単一キーまたは HSM 全体のバックアップを実行するアクセス許可を付与します。 | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Managed HSM の復元 | 単一キーまたは HSM 全体の復元を実行するアクセス許可を付与します。 | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
許可される操作
注
- 次の表では、X は、ロールがデータ アクションの実行を許可されていることを示しています。 空のセルは、ロールにそのデータ アクションを実行するアクセス許可がないことを示します。
- すべてのデータ アクション名には、Microsoft.KeyVault/managedHsm プレフィックスが付いています。簡潔にするために、表では省略されています。
- すべてのロール名には、Managed HSM プレフィックスがあります。簡潔にするために、次の表では省略されています。
| データ アクション | 管理者 | Crypto Officer | Crypto User | ポリシー管理者 | Crypto Service Encryption ユーザー | バックアップ | Crypto Auditor | Crypto Service Release User | 復元する |
|---|---|---|---|---|---|---|---|---|---|
| セキュリティ ドメイン管理 | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| キー管理 | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| キー暗号化操作 の | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| ロール管理 | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| バックアップと復元の管理 | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |