Lokala RBAC-inbyggda roller för Hanterad HSM
Azure Key Vault Managed HSM lokal rollbaserad åtkomstkontroll (RBAC) har flera inbyggda roller. Du kan tilldela dessa roller till användare, tjänstens huvudnamn, grupper och hanterade identiteter.
Om du vill tillåta att ett huvudnamn utför en åtgärd måste du tilldela dem en roll som ger dem behörighet att utföra dessa åtgärder. Med alla dessa roller och åtgärder kan du endast hantera behörigheter för dataplansåtgärder . Information om hanteringsplanåtgärder finns i Inbyggda Roller i Azure och Säker åtkomst till dina hanterade HSM:er.
Om du vill hantera behörigheter för kontrollplan för den hanterade HSM-resursen måste du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC). Några exempel på kontrollplansåtgärder är att skapa en ny hanterad HSM eller uppdatera, flytta eller ta bort en hanterad HSM.
Inbyggda roller
| Rollnamn | beskrivning | ID |
|---|---|---|
| Managed HSM-administratör | Ger behörighet att utföra alla åtgärder som rör säkerhetsdomänen, fullständig säkerhetskopiering och återställning samt rollhantering. Det är inte tillåtet att utföra några nyckelhanteringsåtgärder. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Hanterad HSM Crypto Officer | Ger behörighet att utföra all rollhantering, rensa eller återställa borttagna nycklar och exportera nycklar. Inte tillåtet att utföra andra nyckelhanteringsåtgärder. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Hanterad HSM-kryptoanvändare | Ger behörighet att utföra alla nyckelhanteringsåtgärder förutom att rensa eller återställa borttagna nycklar och exportera nycklar. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Hanterad HSM-principadministratör | Ger behörighet att skapa och ta bort rolltilldelningar. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Hanterad HSM-kryptorevisor | Ger läsbehörighet för att läsa (men inte använda) nyckelattribut. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Hanterad HSM-krypteringstjänstkrypteringsanvändare | Ger behörighet att använda en nyckel för tjänstkryptering. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Hanterad HSM Crypto Service Release-användare | Ger behörighet att släppa en nyckel till en betrodd körningsmiljö. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM-säkerhetskopiering | Ger behörighet att utföra säkerhetskopiering med en nyckel eller hel HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Hanterad HSM-återställning | Ger behörighet att utföra ennyckels- eller hel HSM-återställning. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Tillåtna åtgärder
Kommentar
- I följande tabell anger ett X att en roll tillåts utföra dataåtgärden. En tom cell anger att rollen inte har pemissioner för att utföra dataåtgärden.
- Alla dataåtgärdsnamn har prefixet Microsoft.KeyVault/managedHsm, som utelämnas i tabellen för korthet.
- Alla rollnamn har prefixet Managed HSM, som utelämnas i följande tabell för korthet.
| Dataåtgärd | Administratör | Kryptoofficer | Kryptoanvändare | Principadministratör | Krypteringsanvändare för kryptotjänst | Backup | Kryptorevisor | Kryptotjänstversionsanvändare | Återställning |
|---|---|---|---|---|---|---|---|---|---|
| Hantering av säkerhetsdomäner | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Nyckelhantering | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Kryptografiska nyckelåtgärder | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Rollhantering | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Hantering av säkerhetskopiering och återställning | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Nästa steg
- Se en översikt över Azure RBAC.
- Se en självstudie om hantering av hanterade HSM-roller.