관리형 HSM에 대한 로컬 RBAC 기본 제공 역할
Azure Key Vault 관리형 HSM RBAC(로컬 역할 기반 액세스 제어)에는 몇 가지 기본 제공 역할이 있습니다. 사용자, 서비스 주체, 그룹 및 관리 ID에 이러한 역할을 할당할 수 있습니다.
보안 주체가 작업을 수행할 수 있도록 하려면 해당 작업을 수행할 수 있는 권한을 부여하는 역할을 할당해야 합니다. 이러한 모든 역할 및 작업을 통해 데이터 평면 작업에 대한 권한만 관리할 수 있습니다. 관리 평면 작업의 경우 Azure 기본 제공 역할 및 관리형 HSM에 대한 보안 액세스를 참조하세요.
관리형 HSM 리소스에 대한 제어 평면 권한을 관리하려면 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용해야 합니다. 컨트롤 플레인 작업의 몇 가지 예제로는 새로운 관리형 HSM을 생성하거나 관리형 HSM을 업데이트, 이동 또는 삭제하는 것입니다.
기본 제공 역할
| 역할 이름 | 설명 | ID |
|---|---|---|
| 관리형 HSM 관리자 | 보안 도메인, 전체 백업 및 복원 및 역할 관리와 관련된 모든 작업을 수행할 수 있는 권한을 부여합니다. 키 관리 작업을 수행할 수 없습니다. | a290e904-7015-4bba-90c8-60543313cdb4 |
| 관리형 HSM Crypto 책임자 | 모든 역할 관리를 수행하고, 삭제된 키를 제거 또는 복구하고, 키를 내보낼 수 있는 권한을 부여합니다. 다른 키 관리 작업을 수행할 수 없습니다. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| 관리형 HSM 암호화 사용자 | 삭제된 키 제거 또는 복구 및 내보내기를 제외한 모든 키 관리 작업을 수행할 수 있는 권한을 부여합니다. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| 관리형 HSM 정책 관리자 | 역할 할당을 만들고 삭제할 수 있는 권한을 부여합니다. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| 관리형 HSM 암호화 감사자 | 키 특성을 읽을 수 있는(사용하지 않음) 읽기 권한을 부여합니다. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| 관리형 HSM Crypto Service 암호화 사용자 | 서비스 암호화를 위해 키를 사용할 수 있는 권한을 부여합니다. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| 관리형 HSM Crypto Service 릴리스 사용자 | 신뢰할 수 있는 실행 환경에 키를 해제할 수 있는 권한을 부여합니다. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| 관리형 HSM 백업 | 단일 키 또는 전체 HSM 백업을 수행할 수 있는 권한을 부여합니다. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| 관리형 HSM 복원 | 단일 키 또는 전체 HSM 복원을 수행할 수 있는 권한을 부여합니다. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
허용된 연산
참고 항목
- 다음 표에서 X는 역할이 데이터 작업을 수행할 수 있음을 나타냅니다. 빈 셀은 역할에 해당 데이터 작업을 수행할 수 있는 권한이 없음을 나타냅니다.
- 모든 데이터 작업 이름에는 간결성을 위해 표에서 생략된 접두사 Microsoft.KeyVault/managedHsm이 있습니다.
- 모든 역할 이름에는 간결성을 위해 다음 표에서 생략된 접두사 관리형 HSM이 있습니다.
| 데이터 작업 | 관리자 | 암호화 담당자 | Crypto 사용자 | 정책 관리자 | Crypto Service 암호화 사용자 | Backup | Crypto 감사자 | Crypto Service 릴리스 사용자 | 복원 |
|---|---|---|---|---|---|---|---|---|---|
| 보안 도메인 관리 | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| 키 관리 | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| 주요 암호화 작업 | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| 역할 관리 | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| 백업 및 복원 관리 | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
다음 단계
- Azure RBAC의 개요를 참조하세요.
- 관리형 HSM 역할 관리에 대한 자습서를 참조하세요.