Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Lokal rollbaserad åtkomstkontroll i Azure Managed HSM (RBAC) har flera inbyggda roller. Du kan tilldela dessa roller till användare, tjänstens huvudnamn, grupper och hanterade identiteter. Den här artikeln innehåller en referens för dessa roller och de åtgärder som de tillåter.
Om du vill tillåta att ett huvudnamn utför en åtgärd måste du tilldela dem en roll som ger dem behörighet att utföra dessa åtgärder. Med alla dessa roller och åtgärder kan du endast hantera behörigheter för dataplan åtgärder. Information om kontrollplansåtgärder finns i Inbyggda Roller i Azure och Åtkomstkontroll för Hanterad HSM: Kontrollplan och Azure RBAC.
Om du vill hantera behörigheter för kontrollplan för den hanterade HSM-resursen måste du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC). Några exempel på kontrollplansåtgärder är att skapa en ny hanterad HSM eller uppdatera, flytta eller ta bort en hanterad HSM.
Inbyggda roller
Om du vill tillåta att ett huvudnamn utför en åtgärd måste du tilldela dem en roll som ger dem behörighet att utföra dessa åtgärder.
I följande tabell visas de inbyggda rollerna för managed HSM local RBAC. Varje roll har ett unikt ID som kan användas för att tilldela rollen.
| Rollnamn | Beskrivning | ID-nummer |
|---|---|---|
| Managed HSM-administratör | Ger behörighet att utföra alla åtgärder som rör säkerhetsdomänen, fullständig säkerhetskopiering och återställning samt rollhantering. Det är inte tillåtet att utföra några nyckelhanteringsåtgärder. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Hanterad HSM Crypto Officer | Ger behörighet att utföra all rollhantering, rensa eller återställa borttagna nycklar och exportera nycklar. Inte tillåtet att utföra andra nyckelhanteringsåtgärder. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Hanterad HSM-kryptoanvändare | Ger behörighet att utföra alla nyckelhanteringsåtgärder förutom att rensa eller återställa borttagna nycklar och exportera nycklar. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Hanterad HSM-principadministratör | Ger behörighet att skapa och ta bort rolltilldelningar. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Hanterad HSM-kryptorevisor | Ger läsbehörighet för att läsa (men inte använda) nyckelattribut. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Hanterad HSM-krypteringstjänstkrypteringsanvändare | Ger behörighet att använda en nyckel för tjänstkryptering. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Hanterad HSM Crypto Service Release-användare | Ger behörighet att släppa en nyckel till en betrodd körningsmiljö. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM-säkerhetskopiering | Ger behörighet att utföra säkerhetskopiering med en nyckel eller hel HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Hanterad HSM-återställning | Ger behörighet att utföra ennyckels- eller hel HSM-återställning. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Tillåtna åtgärder
Anmärkning
- I följande tabell anger en X- att en roll tillåts utföra dataåtgärden. En tom cell anger att rollen inte har behörighet att utföra dataåtgärden.
- Alla dataåtgärdsnamn har prefixet Microsoft.KeyVault/managedHsm, som utelämnas i tabellen för korthet.
- Alla rollnamn har prefixet Managed HSM, som utelämnas i följande tabell för korthet.
| Dataåtgärd | Administratör | Kryptoofficer | Kryptoanvändare | Principadministratör | Krypteringsanvändare för kryptotjänst | Säkerhetskopiering | Kryptorevisor | Kryptotjänstversionsanvändare | Återställ |
|---|---|---|---|---|---|---|---|---|---|
| Säkerhetsdomänhantering | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Nyckelhantering | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Nyckelkrypteringsåtgärder | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Rollhantering | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| hantering av säkerhetskopiering och återställning | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Nästa steg
- Se en översikt över Azure RBAC-.
- Se en självstudie om hanterad HSM-rollhantering.