Yönetilen HSM için erişim denetimi
Azure Key Vault Yönetilen HSM, şifreleme anahtarlarını koruyan bir bulut hizmetidir. Bu veriler işletmeniz için hassas ve kritik olduğundan, yalnızca yetkili uygulamaların ve kullanıcıların verilere erişmesine izin vererek yönetilen donanım güvenlik modüllerinizin (HSM) güvenliğini sağlamanız gerekir.
Bu makalede, Yönetilen HSM erişim denetimi modeline genel bir bakış sağlanır. Kimlik doğrulama ve yetkilendirmeyi açıklar ve yönetilen HSM'lerinize erişimin güvenliğini sağlamayı açıklar.
Dekont
Azure Key Vault kaynak sağlayıcısı iki kaynak türünü destekler: kasalar ve yönetilen HSM'ler. Bu makalede açıklanan erişim denetimi yalnızca yönetilen HSM'ler için geçerlidir. Yönetilen HSM'ye yönelik erişim denetimi hakkında daha fazla bilgi edinmek için bkz . Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama.
Erişim denetimi modeli
Yönetilen HSM'ye erişim iki arabirim aracılığıyla denetlenmektedir:
- Yönetim düzlemi
- Veri düzlemi
Yönetim düzleminde HSM'nin kendisini yönetirsiniz. Bu düzlemdeki işlemler, yönetilen HSM'leri oluşturup silmeyi ve yönetilen HSM özelliklerini almayı içerir.
Veri düzleminde, yönetilen bir HSM'de depolanan verilerle çalışırsınız. Yani, HSM destekli şifreleme anahtarlarıyla çalışırsınız. Şifreleme işlemleri gerçekleştirmek, anahtarlara erişimi denetlemek için rol atamalarını yönetmek, tam bir HSM yedeklemesi oluşturmak, tam yedeklemeyi geri yüklemek ve veri düzlemi arabiriminden güvenlik etki alanını yönetmek için anahtarları ekleyebilir, silebilir, değiştirebilir ve kullanabilirsiniz.
Yönetilen HSM'ye her iki düzlemde de erişmek için tüm arayanların doğru kimlik doğrulaması ve yetkilendirmeye sahip olması gerekir. Kimlik doğrulaması , çağıranın kimliğini oluşturur. Yetkilendirme , çağıranın hangi işlemleri yürütebileceğini belirler. Çağıran, Microsoft Entra Kimliği'nde tanımlanan güvenlik sorumlularından herhangi biri olabilir: kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik.
Her iki düzlemde de kimlik doğrulaması için Microsoft Entra Kimliği kullanılır. Yetkilendirme için farklı sistemler kullanır:
- Yönetim düzlemi, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemi olan Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır.
- Veri düzlemi, yönetilen HSM düzeyinde uygulanan ve uygulanan bir yetkilendirme sistemi olan yönetilen HSM düzeyinde RBAC (Yönetilen HSM yerel RBAC) kullanır.
Yönetilen bir HSM oluşturulduğunda, istek sahibi veri düzlemi yöneticilerinin listesini sağlar (tüm güvenlik sorumluları desteklenir). Anahtar işlemleri gerçekleştirmek ve veri düzlemi rol atamalarını (Yönetilen HSM yerel RBAC) yönetmek için yönetilen HSM veri düzlemine yalnızca bu yöneticiler erişebilir.
Her iki düzlemin izin modelleri de aynı söz dizimini kullanır, ancak bunlar farklı düzeylerde uygulanır ve rol atamaları farklı kapsamlar kullanır. Yönetim düzlemi Azure RBAC, Azure Resource Manager tarafından zorlanır ve veri düzlemi Yönetilen HSM yerel RBAC, yönetilen HSM tarafından uygulanır.
Önemli
Bir güvenlik sorumlusuna yönetim düzlemi erişimi vermek, güvenlik sorumlusu veri düzlemine erişim vermez. Örneğin, yönetim düzlemi erişimi olan bir güvenlik sorumlusu, anahtarlara veya veri düzlemi rol atamalarına otomatik olarak erişemez. Bu yalıtım, Yönetilen HSM'de depolanan anahtarlara erişimi etkileyen ayrıcalıkların yanlışlıkla genişletilmesini önlemek için tasarım gereğidir.
Ancak bir özel durum vardır: Microsoft Entra Global Yönetici istrator rolünün üyeleri, artık geçerli bir Yönetilen HSM Yönetici istrator hesabı kalmaması gibi kurtarma amacıyla her zaman Yönetilen HSM Yönetici istrator rolüne kullanıcı ekleyebilir. Daha fazla bilgi için bkz. Genel Yönetici strator rolünü güvenli hale getirmek için Microsoft Entra Id en iyi yöntemleri.
Örneğin, bir abonelik yöneticisi (abonelikteki tüm kaynaklar için Katkıda Bulunan izinlerine sahip olduğundan) aboneliğindeki yönetilen HSM'yi silebilir. Ancak, özellikle Yönetilen HSM yerel RBAC aracılığıyla veri düzlemi erişimine sahip değilse, kendilerine veya başkalarına veri düzlemine erişim vermek için anahtarlara erişemez veya yönetilen HSM'deki rol atamalarını yönetemezler.
Microsoft Entra doğrulaması
Azure aboneliğinde yönetilen HSM oluşturduğunuzda, yönetilen HSM otomatik olarak aboneliğin Microsoft Entra kiracısıyla ilişkilendirilir. Her iki düzlemdeki tüm arayanların bu kiracıya kayıtlı olması ve yönetilen HSM'ye erişmek için kimlik doğrulaması yapması gerekir.
Uygulama, iki düzlemi çağırmadan önce Microsoft Entra Id ile kimlik doğrulaması yapar. Uygulama, uygulama türüne bağlı olarak desteklenen herhangi bir kimlik doğrulama yöntemini kullanabilir. Uygulama, erişim kazanmak için düzlemdeki bir kaynak için belirteç alır. Kaynak, Azure ortamına bağlı olarak yönetim düzlemindeki veya veri düzlemindeki bir uç noktadır. Uygulama belirteci kullanır ve yönetilen HSM uç noktasına bir REST API isteği gönderir. Daha fazla bilgi edinmek için kimlik doğrulama akışının tamamını gözden geçirin.
Her iki düzlem için de tek bir kimlik doğrulama mekanizması kullanmanın çeşitli avantajları vardır:
- Kuruluşlar, kuruluşlarındaki tüm yönetilen HSM'lere erişimi merkezi olarak denetleyebilir.
- Kullanıcı kuruluştan ayrılırsa kuruluştaki tüm yönetilen HSM'lere erişimi anında kaybeder.
- Kuruluşlar, Ek güvenlik için çok faktörlü kimlik doğrulamasını etkinleştirmek gibi Microsoft Entra Id'deki seçenekleri kullanarak kimlik doğrulamasını özelleştirebilir.
Kaynak uç noktaları
Güvenlik sorumluları uç noktalar üzerinden düzlemlere erişmektedir. İki düzlemin erişim denetimleri bağımsız olarak çalışır. Yönetilen HSM'de anahtarları kullanmak üzere bir uygulamaya erişim vermek için, Yönetilen HSM yerel RBAC kullanarak veri düzlemi erişimi verirsiniz. Bir kullanıcıya Yönetilen HSM kaynağı oluşturma, okuma, silme, yönetilen HSM'leri taşıma ve diğer özellikleri ve etiketleri düzenleme erişimi vermek için Azure RBAC'yi kullanırsınız.
Aşağıdaki tabloda yönetim düzlemi ve veri düzlemi için uç noktalar gösterilmektedir.
| Erişim düzlemi | Erişim uç noktaları | Operations | Erişim denetimi mekanizması |
|---|---|---|---|
| Yönetim düzlemi | Genel:management.azure.com:443 |
Yönetilen HSM'leri oluşturma, okuma, güncelleştirme, silme ve taşıma Yönetilen HSM etiketlerini ayarlama |
Azure RBAC |
| Veri düzlemi | Genel:<hsm-name>.managedhsm.azure.net:443 |
Anahtarlar: Şifre çözme, şifreleme, unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge Veri düzlemi rol yönetimi (Yönetilen HSM yerel RBAC): Rol tanımlarını listeleme, rol atama, rol atamalarını silme, özel rolleri tanımlama Yedekleme ve geri yükleme: Yedekleme, geri yükleme, yedekleme ve geri yükleme işlemlerinin durumunu denetleme Güvenlik etki alanı: Güvenlik etki alanını indirme ve karşıya yükleme |
Yönetilen HSM yerel RBAC |
Yönetim düzlemi ve Azure RBAC
Yönetim düzleminde, çağıranın yürütebileceği işlemleri yetkilendirmek için Azure RBAC kullanırsınız. Azure RBAC modelinde, her Azure aboneliğinin bir Microsoft Entra Id örneği vardır. Bu dizinden kullanıcılara, gruplara ve uygulamalara erişim verirsiniz. Azure Resource Manager dağıtım modelini kullanan abonelik kaynaklarını yönetmek için erişim verilir. Erişim vermek için Azure portalını, Azure CLI'yı, Azure PowerShell'i veya Azure Resource Manager REST API'lerini kullanın.
Bir kaynak grubunda anahtar kasası oluşturur ve Microsoft Entra Id kullanarak erişimi yönetirsiniz. Kullanıcılara veya gruplara bir kaynak grubundaki anahtar kasalarını yönetme olanağı verirsiniz. Uygun Azure rollerini atayarak belirli bir kapsam düzeyinde erişim verirsiniz. Kullanıcıya anahtar kasalarını yönetme erişimi vermek için, kullanıcıya belirli bir kapsamda önceden tanımlanmış key vault Contributor bir rol atarsınız. Aşağıdaki kapsam düzeyleri bir Azure rolüne atanabilir:
- Yönetim grubu: Abonelik düzeyinde atanan bir Azure rolü, bu yönetim grubundaki tüm abonelikler için geçerlidir.
- Abonelik: Abonelik düzeyinde atanan bir Azure rolü, bu abonelik içindeki tüm kaynak grupları ve kaynaklar için geçerlidir.
- Kaynak grubu: Kaynak grubu düzeyinde atanan bir Azure rolü, bu kaynak grubundaki tüm kaynaklar için geçerlidir.
- Belirli kaynak: Belirli bir kaynak için atanan azure rolü bu kaynak için geçerlidir. Bu durumda, kaynak belirli bir anahtar kasasıdır.
Birkaç rol önceden tanımlanmıştır. Önceden tanımlanmış bir rol gereksinimlerinize uymuyorsa, kendi rolünüzü tanımlayabilirsiniz. Daha fazla bilgi için bkz . Azure RBAC: Yerleşik roller.
Veri düzlemi ve Yönetilen HSM yerel RBAC
Bir rol atayarak belirli anahtar işlemlerini yürütmek için bir güvenlik sorumlusu erişimi verirsiniz. Her rol ataması için, atamanın uygulanacağı bir rol ve kapsam belirtmeniz gerekir. Yönetilen HSM yerel RBAC için iki kapsam kullanılabilir:
/veya/keys: HSM düzeyinde kapsam. Bu kapsamda bir rol atanan güvenlik sorumluları, yönetilen HSM'deki tüm nesneler (anahtarlar) için rolde tanımlanan işlemleri gerçekleştirebilir./keys/<key-name>: Anahtar düzeyi kapsamı. Bu kapsamda bir rol atanan güvenlik sorumluları, bu rolde tanımlanan işlemleri yalnızca belirtilen anahtarın tüm sürümleri için gerçekleştirebilir.
Sonraki adımlar
- Yöneticiye yönelik başlangıç öğreticisi için bkz . Yönetilen HSM nedir?.
- Rol yönetimi öğreticisi için bkz . Yönetilen HSM yerel RBAC.
- Yönetilen HSM için kullanım günlüğü hakkında daha fazla bilgi için bkz . Yönetilen HSM günlüğü.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin