Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Key Vault Yönetilen HSM, şifreleme anahtarlarını koruyan bir bulut hizmetidir. Bu veriler işletmeniz için hassas ve kritik olduğundan, yalnızca yetkili uygulamaların ve kullanıcıların verilere erişmesine izin vererek yönetilen donanım güvenlik modüllerinizin (HSM) güvenliğini sağlamanız gerekir.
Bu makalede, Yönetilen HSM erişim denetimi modeline genel bir bakış sağlanır. Kimlik doğrulama ve yetkilendirmeyi açıklar ve yönetilen HSM'lerinize erişimin güvenliğini sağlamayı açıklar. Pratik uygulama yönergeleri için bkz . Yönetilen HSM'lerinize güvenli erişim.
Uyarı
Azure Key Vault kaynak hizmet sağlayıcısı iki kaynak türünü destekler: anahtar kasaları ve yönetilen HSM'ler. Bu makalede açıklanan erişim denetimi yalnızca yönetilen HSM'ler için geçerlidir. Key Vault kasalarına yönelik erişim denetimi hakkında daha fazla bilgi edinmek için bkz. Azure rol tabanlı erişim denetimi ile Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama.
Erişim denetimi modeli
Yönetilen HSM'ye erişim iki arabirim aracılığıyla denetlenmektedir:
- Kontrol düzlemi
- Veri düzlemi
Kontrol düzleminde HSM'nin kendisini yönetirsiniz. Bu düzlemdeki işlemler, yönetilen HSM'leri oluşturup silmeyi ve yönetilen HSM özelliklerini almayı içerir.
Veri düzleminde, yönetilen bir HSM'de depolanan verilerle çalışırsınız. Yani, HSM destekli şifreleme anahtarlarıyla çalışırsınız. Şifreleme işlemleri gerçekleştirmek, anahtarlara erişimi denetlemek için rol atamalarını yönetmek, tam bir HSM yedeklemesi oluşturmak, tam yedeklemeyi geri yüklemek ve veri düzlemi arabiriminden güvenlik etki alanını yönetmek için anahtarları ekleyebilir, silebilir, değiştirebilir ve kullanabilirsiniz.
Yönetilen HSM'ye her iki düzlemde de erişmek için tüm arayanların doğru kimlik doğrulaması ve yetkilendirmeye sahip olması gerekir. Kimlik doğrulaması , çağıranın kimliğini oluşturur. Yetkilendirme , çağıranın hangi işlemleri yürütebileceğini belirler. Çağıran, Microsoft Entra Kimliği'nde tanımlanan güvenlik sorumlularından herhangi biri olabilir: kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik.
Her iki uçakta da kimlik doğrulaması için Microsoft Entra Kimliği kullanılır. Yetkilendirme için farklı sistemler kullanır:
- Denetim düzlemi, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemi olan Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır.
- Veri düzlemi, yönetilen HSM düzeyinde uygulanan ve denetlenen bir yetkilendirme sistemi olan yönetilen HSM düzeyinde RBAC (Yönetilen HSM yerel RBAC) kullanır.
Yönetilen bir HSM oluşturulduğunda, istek sahibi veri düzlemi yöneticilerinin listesini sağlar (tüm güvenlik sorumluları desteklenir). Anahtar işlemleri gerçekleştirmek ve veri düzlemi rol atamalarını (Yönetilen HSM yerel RBAC) yönetmek için yönetilen HSM veri düzlemine yalnızca bu yöneticiler erişebilir.
Her iki düzlemin izin modelleri de aynı söz dizimini kullanır, ancak bunlar farklı düzeylerde uygulanır ve rol atamaları farklı kapsamlar kullanır. Denetim düzlemi Azure RBAC, Azure Resource Manager tarafından dayatılır ve veri düzlemi Yönetilen HSM yerel RBAC, yönetilen HSM'in kendi tarafından dayatılır.
Önemli
Güvenlik ilkesine denetim düzlemi erişimi vermek, güvenlik ilkesine veri düzlemine erişim vermez. Örneğin, denetim düzlemi erişimi olan bir güvenlik sorumlusu, anahtarlara veya veri düzlemi rol atamalarına otomatik olarak erişemez. Bu yalıtım, Yönetilen HSM'de depolanan anahtarlara erişimi etkileyen ayrıcalıkların yanlışlıkla genişletilmesini önlemek için tasarım gereğidir.
Ancak bir özel durum vardır: Microsoft Entra Genel Yönetici rolünün üyeleri, artık geçerli bir Yönetilen HSM Yönetici hesabı kalmaması gibi kurtarma amacıyla her zaman Yönetilen HSM Yöneticisi rolüne kullanıcı ekleyebilir. Daha fazla bilgi için bkz. Genel Yönetici rolünün güvenliğini sağlamaya yönelik Microsoft Entra Id en iyi yöntemleri.
Örneğin, bir abonelik yöneticisi (abonelikteki tüm kaynaklar için Katkıda Bulunan izinlerine sahip olduğundan) aboneliğindeki yönetilen HSM'yi silebilir. Ancak Yönetilen HSM yerel RBAC aracılığıyla veri düzlemi erişimi verilmediyse, kendilerine veya başkalarına veri düzlemine erişim vermek için anahtarlara erişemez veya yönetilen HSM'deki rol atamalarını yönetemezler.
Microsoft Entra kimlik doğrulama
Azure aboneliğinde yönetilen HSM oluşturduğunuzda, yönetilen HSM otomatik olarak aboneliğin Microsoft Entra kiracısıyla ilişkilendirilir. Her iki düzlemdeki tüm arayanların bu kiracıya kayıtlı olması ve yönetilen HSM'ye erişmek için kimlik doğrulaması yapması gerekir.
Uygulama, herhangi bir ucu çağırmadan önce Microsoft Entra ID ile kimlik doğrulaması yapar. Uygulama, uygulama türüne bağlı olarak desteklenen herhangi bir kimlik doğrulama yöntemini kullanabilir. Uygulama, erişim kazanmak için düzlemdeki bir kaynak için belirteç alır. Kaynak, Azure ortamına bağlı olarak denetim düzlemindeki veya veri düzlemindeki bir uç noktadır. Uygulama belirteci kullanır ve yönetilen HSM uç noktasına bir REST API isteği gönderir. Daha fazla bilgi edinmek için kimlik doğrulama akışının tamamını gözden geçirin.
Her iki düzlem için de tek bir kimlik doğrulama mekanizması kullanmanın çeşitli avantajları vardır:
- Kuruluşlar, kuruluşlarındaki tüm yönetilen HSM'lere erişimi merkezi olarak denetleyebilir.
- Kullanıcı kuruluştan ayrılırsa kuruluştaki tüm yönetilen HSM'lere erişimi anında kaybeder.
- Kuruluşlar, Ek güvenlik için çok faktörlü kimlik doğrulamasını etkinleştirmek gibi Microsoft Entra ID'deki seçenekleri kullanarak kimlik doğrulamasını özelleştirebilir.
Kaynak uç noktaları
Güvenlik sorumluları uç noktalar üzerinden düzlemlere erişmektedir. İki düzlemin erişim denetimleri bağımsız olarak çalışır. Yönetilen HSM'de anahtarları kullanmak üzere bir uygulamaya erişim vermek için, Yönetilen HSM yerel RBAC kullanarak veri düzlemi erişimi sağlarsınız. Bir kullanıcıya Yönetilen HSM kaynağı oluşturma, okuma, silme, yönetilen HSM'leri taşıma ve diğer özellikleri ve etiketleri düzenleme erişimi vermek için Azure RBAC'yi kullanırsınız.
Aşağıdaki tabloda, denetim düzlemi ve veri düzlemi için uç noktalar gösterilmektedir.
| Erişim düzlemi | Erişim uç noktaları | Operasyonlar | Erişim denetimi mekanizması |
|---|---|---|---|
| Kontrol düzlemi |
Global:management.azure.com:443 |
Yönetilen HSM'leri oluşturma, okuma, güncelleştirme, silme ve taşıma Yönetilen HSM etiketlerini ayarlayın |
Azure RBAC |
| Veri düzlemi |
Global:<hsm-name>.managedhsm.azure.net:443 |
Anahtarlar: Şifre çözme, şifreleme, aç, paketle, doğrula, imzala, al, listele, güncelle, oluştur, içe aktar, sil, yedekle, geri yükle, temizle Veri düzlemi rol yönetimi (Yönetilen HSM yerel RBAC): Rol tanımlarını listeleme, rol atama, rol atamalarını silme, özel rolleri tanımlama Yedekleme ve geri yükleme: Yedekleme, geri yükleme, yedekleme ve geri yükleme işlemlerinin durumunu denetleme Güvenlik etki alanı: Güvenlik etki alanını indirin ve yükleyin |
Yönetilen HSM yerel RBAC |
Kontrol düzlemi ve Azure RBAC
Denetim düzleminde, çağıranın yürütebileceği işlemleri yetkilendirmek için Azure RBAC kullanırsınız. Azure RBAC modelinde, her Azure aboneliğinin bir Microsoft Entra Id örneği vardır. Bu dizinden kullanıcılara, gruplara ve uygulamalara erişim verirsiniz. Azure Resource Manager dağıtım modelini kullanan abonelik kaynaklarını yönetmek için erişim verilir. Erişim vermek için Azure portalını, Azure CLI'yı, Azure PowerShell'i veya Azure Resource Manager REST API'lerini kullanın.
Bir kaynak grubunda bir anahtar kasası oluşturur ve Microsoft Entra ID kullanarak erişimi yönetirsiniz. Kullanıcılara veya gruplara bir kaynak grubundaki anahtar kasalarını yönetme yetkisi verirsiniz. Uygun Azure rollerini atayarak belirli bir kapsam düzeyinde erişim verirsiniz. Kullanıcıya anahtar kasalarını yönetme erişimi vermek için, kullanıcıya belirli bir kapsamda önceden tanımlanmış key vault Contributor bir rol atarsınız. Aşağıdaki kapsam düzeyleri bir Azure rolüne atanabilir:
- Yönetim grubu: Abonelik düzeyinde atanan bir Azure rolü, bu yönetim grubundaki tüm abonelikler için geçerlidir.
- Abonelik: Abonelik düzeyinde atanan bir Azure rolü, bu abonelik içindeki tüm kaynak grupları ve kaynaklar için geçerlidir.
- Kaynak grubu: Kaynak grubu düzeyinde atanan bir Azure rolü, bu kaynak grubundaki tüm kaynaklar için geçerlidir.
- Belirli kaynak: Belirli bir kaynak için atanan azure rolü bu kaynak için geçerlidir. Bu durumda, kaynak belirli bir anahtar kasasıdır.
Birkaç rol önceden tanımlanmıştır. Önceden tanımlanmış bir rol gereksinimlerinize uymuyorsa, kendi rolünüzü tanımlayabilirsiniz. Daha fazla bilgi için Azure RBAC: Yerleşik roller bölümüne bakın.
Veri düzlemi ve Yönetilen HSM yerel RBAC
Bir rol atayarak belirli anahtar işlemlerini yürütmek için bir güvenlik sorumlusu erişimi verirsiniz. Her rol ataması için, atamanın uygulanacağı bir rol ve kapsam belirtmeniz gerekir. Yönetilen HSM yerel RBAC için iki adet kapsam mevcuttur:
-
/veya/keys: HSM düzeyinde kapsam. Bu kapsamda bir rol atanan güvenlik sorumluları, yönetilen HSM'deki tüm nesneler (anahtarlar) için rolde tanımlanan işlemleri gerçekleştirebilir. -
/keys/<key-name>: Anahtar seviyesinde kapsam. Bu kapsamda bir rol atanan güvenlik sorumluları, bu rolde tanımlanan işlemleri yalnızca belirtilen anahtarın tüm sürümleri için gerçekleştirebilir.
Yönetilen HSM yerel RBAC,farklı erişim denetimi senaryolarını ele almak için çeşitli yerleşik rollere sahiptir. Rollerin ve izinlerinin tam listesi için bkz. Yönetilen HSM için yerel RBAC yerleşik rolleri.
Microsoft Entra Privileged Identity Management (PIM)
Yönetim rollerinin güvenliğini artırmak için Microsoft Entra Privileged Identity Management (PIM) kullanın. PIM, tam zamanında erişime olanak sağlayarak yönetim ayrıcalıklarının ayakta kalma riskini azaltır. Ayrıca rol atamaları için görünürlük sağlar ve yükseltilmiş erişim için onay iş akışlarını uygular.
Görev ve erişim denetimi ayrımı
Ekip rolleri arasındaki görevleri ayırmak ve belirli iş işlevleri için yalnızca gereken en düşük erişimi vermek en iyi güvenlik uygulamasıdır. Bu ilke yetkisiz erişimi önlemeye yardımcı olur ve yanlışlıkla veya kötü amaçlı eylemlerin olası etkisini sınırlar.
Yönetilen HSM için erişim denetimi uygularken şu ortak işlevsel rolleri oluşturmayı göz önünde bulundurun:
- Güvenlik ekibi: HSM'yi yönetmek, anahtar yaşam döngülerini denetlemek ve erişim denetimi ayarlarını yapılandırmak için izinler gerekir.
- Uygulama geliştiricileri: HSM'ye doğrudan erişim olmaksızın anahtarlara referanslar gerektirir.
- Hizmet/kod: Daha geniş anahtar yönetimi işlevleriyle kısıtlanırken belirli şifreleme işlemlerini gerçekleştirmek için izinlere ihtiyaç duyar.
- Denetçiler: HSM ayarlarını veya anahtarlarını değiştirme izinleri olmadan izleme ve günlük erişimi özelliklerine ihtiyaç duyar.
Bu kavramsal rollerin her birine yalnızca sorumluluklarını gerçekleştirmek için gereken belirli izinler verilmelidir. Görev ayrımının uygulanması için hem denetim düzlemi (Azure RBAC) hem de veri düzlemi (Yönetilen HSM yerel RBAC) rol atamaları gerekir.
Belirli örnekler ve Azure CLI komutları ile görev ayrımı uygulama hakkında ayrıntılı bir öğretici için bkz. Yönetilen HSM'lerinize güvenli erişim.
Sonraki adımlar
- Yöneticiye yönelik başlangıç öğreticisi için bkz. Yönetilen HSM nedir?.
- Rolleri yönetmeyle ilgili ayrıntılar için Yönetilen HSM yerel RBAC'e bakın.
- Yönetilen HSM için kullanım günlüğü hakkında daha fazla bilgi için bkz. Yönetilen HSM günlüğü.
- Erişim denetimiyle ilgili pratik bir uygulama kılavuzu için bkz . Yönetilen HSM'lerinize güvenli erişim.