Wbudowane role lokalnej kontroli dostępu opartej na rolach dla zarządzanego modułu HSM
Lokalna kontrola dostępu oparta na rolach (RBAC) zarządzanego modułu HSM w usłudze Azure Key Vault ma kilka wbudowanych ról. Te role można przypisać do użytkowników, jednostek usługi, grup i tożsamości zarządzanych.
Aby umożliwić podmiotowi zabezpieczeń wykonywanie operacji, należy przypisać im rolę, która przyznaje im uprawnienia do wykonywania tych operacji. Wszystkie te role i operacje umożliwiają zarządzanie uprawnieniami tylko dla operacji płaszczyzny danych. Aby uzyskać informacje na temat operacji na płaszczyźnie zarządzania, zobacz Wbudowane role platformy Azure i Bezpieczny dostęp do zarządzanych modułów HSM.
Aby zarządzać uprawnieniami płaszczyzny sterowania dla zarządzanego zasobu HSM, należy użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure. Niektóre przykłady operacji płaszczyzny sterowania to utworzenie nowego zarządzanego modułu HSM lub zaktualizowanie, przeniesienie lub usunięcie zarządzanego modułu HSM.
Wbudowane role
Nazwa roli | opis | ID |
---|---|---|
Administrator zarządzanego modułu HSM | Przyznaje uprawnienia do wykonywania wszystkich operacji związanych z domeną zabezpieczeń, pełną kopią zapasową i przywracaniem oraz zarządzanie rolami. Nie wolno wykonywać żadnych operacji zarządzania kluczami. | a290e904-7015-4bba-90c8-60543313cdb4 |
Zarządzany oficer kryptograficzny modułu HSM | Przyznaje uprawnienia do wykonywania wszystkich funkcji zarządzania rolami, przeczyszczania lub odzyskiwania usuniętych kluczy oraz eksportowania kluczy. Nie wolno wykonywać żadnych innych operacji zarządzania kluczami. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
Zarządzany użytkownik kryptograficzny modułu HSM | Przyznaje uprawnienia do wykonywania wszystkich operacji zarządzania kluczami z wyjątkiem przeczyszczania lub odzyskiwania usuniętych kluczy i kluczy eksportu. | 21dbd100-6940-42c2-9190-5d6cb909625b |
Administrator zasad zarządzanego modułu HSM | Przyznaje uprawnienia do tworzenia i usuwania przypisań ról. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
Zarządzany audytor kryptograficzny modułu HSM | Przyznaje uprawnienia do odczytu (ale nie używać) atrybutów klucza. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
Zarządzany użytkownik szyfrowania usługi kryptograficznej HSM | Przyznaje uprawnienia do używania klucza na potrzeby szyfrowania usługi. | 33413926-3206-4cddd-b39a-83574fe37a17 |
Użytkownik zarządzanego wydania usługi kryptograficznej HSM | Przyznaje uprawnienia do wydania klucza w zaufanym środowisku wykonywania. | 21dbd100-6940-42c2-9190-5d6cb909625c |
Zarządzana kopia zapasowa modułu HSM | Przyznaje uprawnienia do wykonywania kopii zapasowej pojedynczego klucza lub całego modułu HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
Przywracanie zarządzanego modułu HSM | Przyznaje uprawnienia do wykonywania przywracania pojedynczego klucza lub całego modułu HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Dozwolone operacje
Uwaga
- W poniższej tabeli znak X wskazuje, że rola może wykonywać akcję danych. Pusta komórka wskazuje, że rola nie ma pemisji do wykonania tej akcji danych.
- Wszystkie nazwy akcji danych mają prefiks Microsoft.KeyVault/managedHsm, który został pominięty w tabeli w celu zwięzłości.
- Wszystkie nazwy ról mają prefiks Zarządzany moduł HSM, który został pominięty w poniższej tabeli w celu zwięzłości.
Akcja danych | Administrator | Crypto Officer | Użytkownik kryptograficzny | Administrator zasad | Użytkownik szyfrowania usługi kryptograficznej | Wykonywanie kopii zapasowej | Audytor kryptograficzny | Użytkownik wydania usługi kryptograficznej | Przywracanie |
---|---|---|---|---|---|---|---|---|---|
Zarządzanie domenami zabezpieczeń | |||||||||
/securitydomain/download/action | X | ||||||||
/securitydomain/upload/action | X | ||||||||
/securitydomain/upload/read | X | ||||||||
/securitydomain/transferkey/read | X | ||||||||
Zarządzanie kluczami | |||||||||
/keys/read/action | X | X | X | ||||||
/keys/write/action | X | ||||||||
/keys/rotate/action | X | ||||||||
/keys/create | X | ||||||||
/keys/delete | X | ||||||||
/keys/deletedKeys/read/action | X | ||||||||
/keys/deletedKeys/recover/action | X | ||||||||
/keys/deletedKeys/deletedKeys/delete | X | X | |||||||
/keys/backup/action | X | X | |||||||
/keys/restore/action | X | X | |||||||
/keys/release/action | X | X | |||||||
/keys/import/action | X | ||||||||
Operacje kryptograficzne kluczy | |||||||||
/keys/encrypt/action | X | ||||||||
/keys/decrypt/action | X | ||||||||
/keys/wrap/action | X | X | |||||||
/keys/unwrap/action | X | X | |||||||
/keys/sign/action | X | ||||||||
/keys/verify/action | X | ||||||||
Zarządzanie rolami | |||||||||
/roleAssignments/read/action | X | X | X | X | X | ||||
/roleAssignments/write/action | X | X | X | ||||||
/roleAssignments/delete/action | X | X | X | ||||||
/roleDefinitions/read/action | X | X | X | X | X | ||||
/roleDefinitions/write/action | X | X | X | ||||||
/roleDefinitions/delete/action | X | X | X | ||||||
Zarządzanie tworzeniem i przywracaniem kopii zapasowych | |||||||||
/backup/start/action | X | X | |||||||
/backup/status/action | X | X | |||||||
/restore/start/action | X | X | |||||||
/restore/status/action | X | X |
Następne kroki
- Zobacz omówienie kontroli dostępu opartej na rolach platformy Azure.
- Zobacz samouczek dotyczący zarządzania rolami zarządzanego modułu HSM.