Funções internas do RBAC local para o HSM Gerenciado
O RBAC (controle de acesso baseado em função) local do HSM Gerenciado do Azure Key Vault tem várias funções internas. Você pode atribuir essas funções a usuários, entidades de serviço, grupos e identidades gerenciadas.
Para permitir que uma entidade de segurança execute uma operação, é necessário atribuir a ela uma função que conceda permissões para executar essas operações. Todas essas funções e operações permitem que você gerencie as permissões apenas das operações do plano de dados. Para operações do plano de gerenciamento, consulte Funções internas do Azure e Acesso seguro aos seus HSMs gerenciados.
Para gerenciar as permissões do painel de controle do recurso HSM Gerenciado, você precisará usar o RBAC do Azure (controle de acesso baseado em função do Azure). Alguns exemplos de operações do painel de controle são criar, atualizar, mover ou excluir um HSM gerenciado.
Funções internas
| Nome da função | Descrição | ID |
|---|---|---|
| Administrador de HSM Gerenciado | Concede permissões para executar todas as operações relacionadas ao domínio de segurança, backup completo, restauração e gerenciamento de funções. Não é permitido executar nenhuma operação de gerenciamento de chaves. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Responsável pela Criptografia do HSM Gerenciado | Concede permissões para executar todo o gerenciamento de funções, limpar ou recuperar chaves excluídas e exportar chaves. Não é permitido executar outras operações de gerenciamento de chaves. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Usuário de Criptografia do HSM Gerenciado | Concede permissões para executar todas as operações de gerenciamento de chaves, exceto a limpeza ou a recuperação de chaves excluídas e exportadas. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrador de Política do HSM Gerenciado | Concede permissões para criar e excluir atribuições de função. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditor de Criptografia do HSM Gerenciado | Concede permissões de leitura para ler (mas não usar) os atributos de chave. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Usuário de Criptografia de Serviço do HSM gerenciado | Concede permissões para usar uma chave para criptografia de serviço. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Usuário de liberação do HSM Crypto Service gerenciado | Concede permissões para liberar uma chave para um ambiente de execução confiável. | 21DBD100-6940-42C2-9190-5D6CB909625C |
| Backup do HSM Gerenciado | Concede permissões para executar um backup completo ou de chave individual do HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauração gerenciada do HSM | Concede permissões para executar a restauração de chave única ou HSM inteiro. | 6EFE6056-5259-49D2-8B3D-D3D73544B20B |
Operações permitidas
Observação
- Na tabela a seguir, o X indica que uma função tem permissão para executar a ação de dados em questão. Uma célula vazia indica que aquela função não tem permissões para executar a ação de dados em questão.
- Todos os nomes das ações de dados têm o prefixo Microsoft.KeyVault/managedHsm, que é omitido na tabela para poupar espaço.
- Todos os nomes das funções têm o prefixo HSM Gerenciado, que é omitido na tabela a seguir para poupar espaço.
| Ação de dados | Administrador | Crypto Officer | Usuário de Criptografia | Administrador de políticas | Usuário de Criptografia de Serviço Crypto | Backup | Auditor de Criptografia | Usuário de lançamento do serviço de criptografia | Restaurar |
|---|---|---|---|---|---|---|---|---|---|
| Gerenciamento de domínio de segurança | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Gerenciamento de chaves | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Principais operações criptográficas | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Gerenciamento de funções | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Gerenciamento de backup e restauração | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Próximas etapas
- Confira uma visão geral do RBAC do Azure.
- Confira um tutorial sobre Gerenciamento de funções no HSM Gerenciado.