分享方式:


受控 HSM 存取控制

Azure Key Vault 受控 HSM 是一項雲端服務,可保護加密金鑰。 這是敏感且具業務關鍵性的資料,因此您必須僅允許獲得授權的應用程式和使用者存取資料,藉此保護受控硬體安全性模組 (HSM)。

本文提供受控 HSM 控制存取模型的概觀。 文中會說明驗證和授權,並說明如何保護對受控 HSM 的存取權。

注意

Azure Key Vault 資源提供者支援兩種資源類型:保存庫受控 HSM。 本文所述的存取控制僅適用於受控 HSM。 若要深入了解受控 HSM 的存取控制,請參閱透過 Azure 角色型存取控制,提供對 Key Vault 金鑰、憑證和秘密的存取權

存取控制模型

透過兩個介面來控制對受控 HSM 的存取權:

  • 管理平面
  • 資料平面

您可於管理平面上管理 HSM 本身。 此平面中的作業包括建立和刪除受控 HSM,以及擷取受控 HSM 屬性。

資料平面則可讓您處理受控 HSM 中儲存的資料。 也就是說,您可以使用 HSM 支援的加密金鑰。 從資料平面介面,您可以新增、刪除、修改和使用金鑰來執行密碼編譯作業、管理角色指派來控制對金鑰的存取權、建立完整 HSM 備份、還原完整備份,以及管理安全性網域。

若要在任一平面存取受控 HSM,所有呼叫者都必須有適當的驗證和授權。 驗證會建立呼叫者的身分識別。 授權則會判斷呼叫者可以執行哪些作業。 呼叫者可以是 Microsoft Entra ID 中定義的任何一個安全性主體:使用者、群組、服務主體或受控識別。

這兩個平面都使用 Microsoft Entra ID 進行驗證。 在授權方面,各使用不同的系統:

  • 管理平面使用 Azure 角色型存取控制 (Azure RBAC),這是以 Azure Resource Manager 為基礎的授權系統。
  • 資料平面使用受控 HSM 層級 RBAC (受控 HSM 本機 RBAC),這是在受控 HSM 層級實作和強制執行的授權系統。

建立受控 HSM 時,要求者會提供資料平面管理員清單 (支援所有安全性主體)。 只有這些管理員才能存取受控 HSM 資料平面,以執行重要作業及管理資料平面角色指派 (受控 HSM 本機 RBAC)。

這兩個平面的權限模型使用相同的語法,但在不同層級強制執行,而且角色指派使用不同的範圍。 管理平面 Azure RBAC 由 Azure Resource Manager 強制執行,而資料平面受控 HSM 本機 RBAC 由受控 HSM 本身強制執行。

重要

向安全性主體授與管理平面存取權,並不會向安全性主體授與資料平面存取權。 例如,具有管理平面存取權的安全性主體,並不會自動擁有金鑰或資料平面角色指派的存取權。 此隔離旨在避免不慎擴張權限,以致越權存取受控 HSM 中儲存的金鑰。

但有例外狀況:具有 Microsoft Entra 全域管理員角色的成員一律可以將使用者新增至受控 HSM 管理員角色以進行復原,例如當不再擁有任何有效的受控 HSM 管理員帳戶時。 如需詳細資訊,請參閱 Microsoft Entra ID 最佳做法來保護全域管理員角色

例如,訂用帳戶管理員 (因其具有訂用帳戶中所有資源的參與者權限),可以刪除訂用帳戶中的受控 HSM。 但是,如果他們沒有透過受控 HSM 本機 RBAC 特別授與的資料平面存取權,則無法存取受控 HSM 中的金鑰或管理角色指派,也就無法授與自己或其他人資料平面的存取權。

Microsoft Entra 驗證

在 Azure 訂用帳戶中建立受控 HSM 時,受控 HSM 會自動與訂用帳戶的 Microsoft Entra 租用戶建立關聯。 這兩個平面中的所有呼叫者都必須在此租用戶中註冊並通過驗證,才能存取受控 HSM。

應用程式在呼叫任一平面之前,須通過 Microsoft Entra ID 驗證。 應用程式可以根據應用程式類型,使用任何支援的驗證方法。 應用程式獲得權杖以存取平面中的資源。 視 Azure 環境而定,資源會是管理平面或資料平面中的端點。 應用程式使用權杖向受控 HSM 端點傳送 REST API 要求。 若要深入了解,請參閱整個驗證流程

兩個平面共用單一驗證機制有諸多優點:

  • 組織可以集中控制存取組織中的所有受控 HSM。
  • 如果使用者離開組織,便會立即無法存取組織中的所有受控 HSM。
  • 組織可以藉由使用 Microsoft Entra ID 中的選項 (例如,啟用多重要素驗證以提升安全性) 來自訂驗證。

資源端點

安全性主體透過端點來存取平面。 這兩個平面的存取控制可獨立運作。 若要授權應用程式使用受控 HSM 中的金鑰,請使用受控 HSM 本機 RBAC 來授與資料平面存取權。 若要授權使用者存取受控 HSM 資源來建立、讀取、刪除、移動受控 HSM,以及編輯其他屬性和標記,請使用 Azure RBAC。

下表顯示管理平面和資料平面的端點。

存取平面 存取端點 Operations 存取控制機制
管理平面 全域:
management.azure.com:443
建立、讀取、更新、刪除和移動受控 HSM

設定受控 HSM 標記
Azure RBAC
資料平面 全域:
<hsm-name>.managedhsm.azure.net:443
金鑰:解密、加密。
解除包裝、包裝、驗證、簽署、取得、列出、更新、建立、匯入、刪除、備份、還原、清除

資料平面角色管理 (受控 HSM 本機 RBAC):列出角色定義、指派角色、刪除角色指派、定義自訂角色

備份與還原:備份、還原、檢查備份與還原作業的狀態

安全性網域:下載和上傳安全性網域
受控 HSM 本機 RBAC

管理平面和 Azure RBAC

在管理平面中,您可以使用 Azure RBAC 授權呼叫者可執行的作業。 在 Azure RBAC 模型中,每個 Azure 訂用帳戶各有一個 Microsoft Entra ID 執行個體。 您可以對來自該目錄的使用者、群組和應用程式授與存取權。 授與存取權即可管理使用 Azure Resource Manager 部署模型的訂用帳戶資源。 若要授與存取權,請使用 Azure 入口網站Azure CLIAzure PowerShellAzure Resource Manager REST API

您可以使用 Microsoft Entra ID 在資源群組中建立金鑰保存庫和管理存取權。 您可以授與使用者或群組管理資源群組中金鑰保存庫的能力。 您指派適當的 Azure 角色,以授權特定範圍層級的存取權。 若要對使用者授與管理金鑰保存庫的權限,您可以在特定範圍對使用者指派預先定義的 key vault Contributor 角色。 您可以對 Azure 角色指派下列範圍層級:

  • 管理群組:在訂用帳戶層級指派的 Azure 角色套用至該管理群組中的所有訂用帳戶。
  • 訂用帳戶:在訂用帳戶層級指派的 Azure 角色,會套用至該訂用帳戶內的所有資源群組和資源。
  • 資源群組:在資源群組層級指派的 Azure 角色,會套用至該資源群組內的所有資源。
  • 特定資源:針對特定資源指派的 Azure 角色,會套用至該資源。 在此情況下,資源是特定的金鑰保存庫。

預先定義數個角色。 如果預先定義的角色不符合您的需求,您可以定義您自己的角色。 如需詳細資訊,請參閱 Azure RBAC:內建角色

資料平面和受控 HSM 本機 RBAC

您指派角色來授權安全性主體執行特定的金鑰作業。 在每個角色指派中,您必須指定角色和該指派套用的範圍。 受控 HSM 本機 RBAC 有兩個範圍可用:

  • //keys:HSM 層級範圍。 在此範圍獲得角色的安全性主體,可以對受控 HSM 中的所有物件 (金鑰) 執行角色中定義的作業。
  • /keys/<key-name>:金鑰層級範圍。 在此範圍獲得角色的安全性主體,只能對指定金鑰的所有版本執行此角色中定義的作業。

下一步