Встроенные роли локального RBAC для управляемого устройства HSM
Управление доступом на основе ролей (RBAC) управляемого HSM в Azure Key Vault имеет несколько встроенных ролей. Эти роли можно назначить пользователям, субъектам-службам, группам и управляемым удостоверениям.
Чтобы разрешить субъекту выполнять операцию, необходимо назначить им роль, которая предоставляет им разрешения на выполнение операций. Все эти роли и операции позволяют управлять разрешениями только для операций плоскости данных. Сведения об операциях плоскости управления см. в встроенных ролях Azure и безопасном доступе к управляемым устройствам HSM.
Чтобы управлять разрешениями уровня управления для ресурса управляемого устройства HSM, необходимо использовать управление доступом на основе ролей в Azure (Azure RBAC). Некоторые примеры операций плоскости управления — создание управляемого устройства HSM или обновление, перемещение или удаление управляемого устройства HSM.
Встроенные роли
| Имя роли | Description | Идентификатор |
|---|---|---|
| администратор Управляемого устройства HSM; | Предоставляет разрешения на выполнение всех операций, связанных с доменом безопасности, полным резервным копированием и восстановлением и управлением ролями. Выполнять какие-либо важные операции управления запрещено. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Специалист по системе шифрования управляемого устройства HSM | Предоставляет разрешения на выполнение всех операций по управлению ролями, очистки или восстановления удаленных ключей, а также экспорта ключей. Выполнять какие-либо другие важные операции управления запрещено. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Пользователь шифрования управляемого устройства HSM | Предоставляет разрешения на выполнение всех операций управления ключами, кроме очистки или восстановления удаленных ключей и экспорта ключей. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Администратор политики управляемого устройства HSM | Предоставляет разрешения на создание и удаление назначений ролей. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Аудитор системы шифрования управляемого устройства HSM | Предоставляет разрешения на чтение (но не использовать) ключевые атрибуты. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Пользователь службы шифрования управляемого устройства HSM | Предоставляет разрешения на использование ключа для шифрования служб. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Пользователь выпуска управляемой службы шифрования HSM | Предоставляет разрешения на освобождение ключа в доверенной среде выполнения. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| резервное копирование Управляемого устройства HSM. | Предоставляет разрешения на выполнение одноключного или полного резервного копирования HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Восстановление управляемого устройства HSM | Предоставляет разрешения на восстановление с одним ключом или целым HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Разрешенные операции
Примечание.
- В следующей таблице X указывает, что роль разрешена для выполнения действия данных. Пустая ячейка указывает, что роль не имеет пемиссий для выполнения этого действия данных.
- Все имена действий данных имеют префикс Microsoft.KeyVault/managedHsm, который опущен в таблице для краткости.
- Все имена ролей имеют префикс Managed HSM, который опущен в следующей таблице для краткости.
| Действие данных | Администратор | Администратор системы шифрования | Пользователь шифрования | Администратор политики | Пользователь шифрования криптослужбы | Резервное копирование | Аудитор шифрования | Пользователь выпуска службы шифрования | Восстановление |
|---|---|---|---|---|---|---|---|---|---|
| Управление доменами безопасности | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Управление ключами | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Криптографические операции на основе ключей | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Управление ролями | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Управление резервным копированием и восстановлением | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Следующие шаги
- Ознакомьтесь с обзором Azure RBAC.
- Ознакомьтесь с руководством по управлению ролью управляемого устройства HSM.