你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 托管 HSM 本地基于角色的访问控制(RBAC)具有多个内置角色。 可以将这些角色分配给用户、服务主体、组和托管标识。 本文提供了这些角色及其允许的作的参考。
若要允许主体执行作,必须为其分配一个角色,授予他们执行该作的权限。 所有这些角色和作都允许你仅管理 数据平面作的权限。 有关控制平面作,请参阅托管 HSM 的 Azure 内置角色和访问控制:控制平面和 Azure RBAC。
若要管理托管 HSM 资源的控制平面权限,必须使用 Azure 基于角色的访问控制(Azure RBAC)。 控制平面作的一些示例是创建新的托管 HSM,或更新、移动或删除托管 HSM。
内置角色
若要允许主体执行作,必须为其分配一个角色,授予他们执行该作的权限。
下表列出了托管 HSM 本地 RBAC 的内置角色。 每个角色都有一个唯一的 ID,可用于分配角色。
| 角色名称 | 说明 | ID |
|---|---|---|
| 托管 HSM 管理员 | 授予执行与安全域、完整备份和还原以及角色管理相关的所有作的权限。 不允许执行任何密钥管理作。 | a290e904-7015-4bba-90c8-60543313cdb4 |
| 托管 HSM 加密官 | 授予执行所有角色管理、清除或恢复已删除密钥和导出密钥的权限。 不允许执行任何其他密钥管理作。 | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| 托管 HSM 加密用户 | 授予执行所有密钥管理作的权限,但清除或恢复已删除的密钥和导出密钥除外。 | 21dbd100-6940-42c2-9190-5d6cb909625b |
| 托管 HSM 策略管理员 | 授予创建和删除角色分配的权限。 | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| 托管 HSM 加密审核者 | 授予读取(但不使用)密钥属性的读取权限。 | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| 托管 HSM 加密服务加密用户 | 授予使用密钥进行服务加密的权限。 | 33413926-3206-4cdd-b39a-83574fe37a17 |
| 托管 HSM 加密服务发布用户 | 授予将密钥发布到受信任执行环境的权限。 | 21dbd100-6940-42c2-9190-5d6cb909625c |
| 托管 HSM 备份 | 授予执行单键或全 HSM 备份的权限。 | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| 托管 HSM 还原 | 授予执行单键或全 HSM 还原的权限。 | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
允许的作
注释
- 在下表中,X 指示允许角色执行数据作。 空单元格指示角色无权执行该数据作。
- 所有数据作名称都有前缀 Microsoft.KeyVault/managedHsm,这是为简洁起见而省略的表。
- 所有角色名称都有前缀 托管 HSM,为简洁起见,下表中省略了前缀。
| 数据作 | 管理员 | 加密管理人员 | Crypto 用户 | 策略管理员 | 加密服务加密用户 | 备份 | 加密审核员 | 加密服务发布用户 | 还原 |
|---|---|---|---|---|---|---|---|---|---|
| 安全域管理 | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| 密钥管理 | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| 密钥加密作 | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| 角色管理 | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| 备份和还原管理 | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
后续步骤
- 请参阅 azure RBAC 概述。
- 请参阅有关 托管 HSM 角色管理的教程。