Funções internas do RBAC local para HSM gerenciado
O controle de acesso baseado em função local (RBAC) do Azure Key Vault Managed HSM tem várias funções internas. Você pode atribuir essas funções a usuários, entidades de serviço, grupos e identidades gerenciadas.
Para permitir que uma entidade de segurança execute uma operação, você deve atribuir-lhe uma função que lhes conceda permissões para executar essas operações. Todas essas funções e operações permitem que você gerencie permissões apenas para operações de plano de dados. Para operações de plano de gerenciamento, consulte Funções internas do Azure e Acesso seguro aos HSMs gerenciados.
Para gerenciar permissões de plano de controle para o recurso HSM gerenciado, você deve usar o controle de acesso baseado em função do Azure (Azure RBAC). Alguns exemplos de operações de plano de controle são criar um novo HSM gerenciado ou atualizar, mover ou excluir um HSM gerenciado.
Funções incorporadas
| Nome da função | Description | ID |
|---|---|---|
| Administrador do HSM Gerido | Concede permissões para executar todas as operações relacionadas ao domínio de segurança, backup e restauração completos e gerenciamento de funções. Não é permitido realizar quaisquer operações de gerenciamento de chaves. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Diretor de criptografia HSM gerenciado | Concede permissões para executar todo o gerenciamento de funções, limpar ou recuperar chaves excluídas e exportar chaves. Não é permitido executar quaisquer outras operações de gerenciamento de chaves. | 515EB02D-2335-4D2D-92F2-B1CBDF9C3778 |
| Usuário de criptografia HSM gerenciado | Concede permissões para executar todas as operações de gerenciamento de chaves, exceto limpar ou recuperar chaves excluídas e exportar chaves. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrador de políticas de HSM gerenciado | Concede permissões para criar e excluir atribuições de função. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditor de criptografia HSM gerenciado | Concede permissões de leitura para ler (mas não usar) atributos de chave. | 2C18B078-7C48-4D3A-AF88-5A3A1B3F82B3 |
| Usuário gerenciado de criptografia do HSM Crypto Service | Concede permissões para usar uma chave para criptografia de serviço. | 33413926-3206-4CDD-B39A-83574FE37A17 |
| Usuário gerenciado do HSM Crypto Service Release | Concede permissões para liberar uma chave para um ambiente de execução confiável. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Cópia de Segurança do HSM Gerido | Concede permissões para executar backup de chave única ou HSM inteiro. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauração gerenciada do HSM | Concede permissões para executar a restauração de chave única ou HSM inteiro. | 6EFE6056-5259-49D2-8B3D-D3D73544B20B |
Operações permitidas
Nota
- Na tabela a seguir, um X indica que uma função tem permissão para executar a ação de dados. Uma célula vazia indica que a função não tem pemissões para executar essa ação de dados.
- Todos os nomes de ação de dados têm o prefixo Microsoft.KeyVault/managedHsm, que é omitido na tabela para maior brevidade.
- Todos os nomes de função têm o prefixo Managed HSM, que é omitido na tabela a seguir para maior brevidade.
| Ação de dados | Administrador | Oficial de Criptografia | Usuário de criptografia | Administrador de políticas | Usuário de criptografia do serviço de criptografia | Backup | Auditor de criptografia | Usuário do Crypto Service Release | Restauro |
|---|---|---|---|---|---|---|---|---|---|
| Gerenciamento de domínio de segurança | |||||||||
| /securitydomain/download/ação | X | ||||||||
| /securitydomain/upload/ação | X | ||||||||
| /securitydomain/upload/ler | X | ||||||||
| /securitydomain/transferkey/leitura | X | ||||||||
| Gestão de chaves | |||||||||
| /chaves/leitura/ação | X | X | X | ||||||
| /chaves/gravação/ação | X | ||||||||
| /chaves/girar/ação | X | ||||||||
| /chaves/criar | X | ||||||||
| /chaves/excluir | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /chaves/backup/ação | X | X | |||||||
| /chaves/restauração/ação | X | X | |||||||
| /chaves/lançamento/ação | X | X | |||||||
| /chaves/importação/ação | X | ||||||||
| Principais operações criptográficas | |||||||||
| /chaves/encriptação/ação | X | ||||||||
| /chaves/desencriptação/ação | X | ||||||||
| /chaves/wrap/action | X | X | |||||||
| /chaves/desembrulhar/ação | X | X | |||||||
| /chaves/sinal/ação | X | ||||||||
| /chaves/verificar/ação | X | ||||||||
| Gestão de funções | |||||||||
| /roleAtribuições/leitura/ação | X | X | X | X | X | ||||
| /roleAtribuições/gravação/ação | X | X | X | ||||||
| /roleAtribuições/excluir/ação | X | X | X | ||||||
| /roleDefinições/leitura/ação | X | X | X | X | X | ||||
| /roleDefinições/gravação/ação | X | X | X | ||||||
| /roleDefinições/excluir/ação | X | X | X | ||||||
| Gerenciamento de backup e restauração | |||||||||
| /backup/início/ação | X | X | |||||||
| /backup/status/ação | X | X | |||||||
| /restaurar/iniciar/ação | X | X | |||||||
| /restaurar/status/ação | X | X |
Próximos passos
- Veja uma visão geral do Azure RBAC.
- Consulte um tutorial sobre o gerenciamento de funções do HSM gerenciado.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários