受控 HSM 的本機 RBAC 內建角色
Azure 金鑰保存庫 受控 HSM 本機角色型訪問控制 (RBAC) 具有數個內建角色。 您可以將這些角色指派給用戶、服務主體、群組和受控識別。
若要允許主體執行作業,您必須指派角色來授與他們執行該作業的許可權。 所有這些角色和作業都可讓您只 管理數據平面 作業的許可權。 如需 管理平面 作業,請參閱 Azure 內建角色 和安全 存取受控 HSM。
若要管理受控 HSM 資源的控制平面許可權,您必須使用 Azure 角色型存取控制(Azure RBAC)。 控制平面作業的一些範例是建立新的受控 HSM,或更新、移動或刪除受控 HSM。
內建角色
角色名稱 | 描述 | 識別碼 |
---|---|---|
受控 HSM 管理員 | 授與許可權,以執行與安全性網域、完整備份和還原,以及角色管理相關的所有作業。 不允許執行任何金鑰管理作業。 | a290e904-7015-4bba-90c8-60543313cdb4 |
受控 HSM 密碼編譯人員 | 授與許可權以執行所有角色管理、清除或復原已刪除的金鑰,以及匯出密鑰。 不允許執行任何其他金鑰管理作業。 | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
受控 HSM 密碼編譯使用者 | 授與許可權以執行所有金鑰管理作業,但清除或復原已刪除的密鑰和匯出金鑰除外。 | 21dbd100-6940-42c2-9190-5d6cb909625b |
受控 HSM 原則管理員 | 授與建立和刪除角色指派的許可權。 | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
受控 HSM 密碼編譯稽核員 | 授與讀取許可權,以讀取 (但不使用) 索引鍵屬性。 | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
受控 HSM 加密服務加密使用者 | 授與許可權以使用金鑰進行服務加密。 | 33413926-3206-4cdd-b39a-83574fe37a17 |
受控 HSM 密碼編譯服務發行使用者 | 授與許可權,將金鑰發行至受信任的執行環境。 | 21dbd100-6940-42c2-9190-5d6cb909625c |
受控 HSM 備份 | 授與執行單一金鑰或整個 HSM 備份的許可權。 | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
受控 HSM 還原 | 授與執行單一金鑰或整個 HSM 還原的許可權。 | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
允許的運算
注意
- 在下表中, X 表示允許角色執行數據動作。 空白數據格表示角色沒有執行該數據動作的預覽。
- 所有數據動作名稱都有前置 詞 Microsoft.KeyVault/managedHsm,這是為了簡潔起見而省略數據表。
- 所有角色名稱都有 Managed HSM前置詞,下表中省略以求簡潔。
數據動作 | 系統管理員 | 密碼編譯人員 | 密碼編譯使用者 | [原則系統管理員] | 加密服務加密使用者 | Backup | 密碼編譯稽核員 | Crypto Service Release User | 還原 |
---|---|---|---|---|---|---|---|---|---|
安全性網域管理 | |||||||||
/securitydomain/download/action | X | ||||||||
/securitydomain/upload/action | X | ||||||||
/securitydomain/upload/read | X | ||||||||
/securitydomain/transferkey/read | X | ||||||||
金鑰管理 | |||||||||
/keys/read/action | X | X | X | ||||||
/keys/write/action | X | ||||||||
/keys/rotate/action | X | ||||||||
/keys/create | X | ||||||||
/keys/delete | X | ||||||||
/keys/deletedKeys/read/action | X | ||||||||
/keys/deletedKeys/recover/action | X | ||||||||
/keys/deletedKeys/delete | X | X | |||||||
/keys/backup/action | X | X | |||||||
/keys/restore/action | X | X | |||||||
/keys/release/action | X | X | |||||||
/keys/import/action | X | ||||||||
金鑰密碼編譯作業 | |||||||||
/keys/encrypt/action | X | ||||||||
/keys/decrypt/action | X | ||||||||
/keys/wrap/action | X | X | |||||||
/keys/unwrap/action | X | X | |||||||
/keys/sign/action | X | ||||||||
/keys/verify/action | X | ||||||||
角色管理 | |||||||||
/roleAssignments/read/action | X | X | X | X | X | ||||
/roleAssignments/write/action | X | X | X | ||||||
/roleAssignments/delete/action | X | X | X | ||||||
/roleDefinitions/read/action | X | X | X | X | X | ||||
/roleDefinitions/write/action | X | X | X | ||||||
/roleDefinitions/delete/action | X | X | X | ||||||
備份與還原管理 | |||||||||
/backup/start/action | X | X | |||||||
/backup/status/action | X | X | |||||||
/restore/start/action | X | X | |||||||
/restore/status/action | X | X |