受控 HSM 存取控制
Azure Key Vault 受控 HSM 是一項雲端服務,可保護加密金鑰。 這是敏感且具業務關鍵性的資料,因此您必須僅允許獲得授權的應用程式和使用者存取資料,藉此保護受控硬體安全性模組 (HSM)。
本文提供受控 HSM 控制存取模型的概觀。 文中會說明驗證和授權,並說明如何保護對受控 HSM 的存取權。
注意
Azure Key Vault 資源提供者支援兩種資源類型:保存庫和受控 HSM。 本文所述的存取控制僅適用於受控 HSM。 若要深入了解受控 HSM 的存取控制,請參閱透過 Azure 角色型存取控制,提供對 Key Vault 金鑰、憑證和秘密的存取權。
存取控制模型
透過兩個介面來控制對受控 HSM 的存取權:
- 管理平面
- 資料平面
您可於管理平面上管理 HSM 本身。 此平面中的作業包括建立和刪除受控 HSM,以及擷取受控 HSM 屬性。
資料平面則可讓您處理受控 HSM 中儲存的資料。 也就是說,您可以使用 HSM 支援的加密金鑰。 從資料平面介面,您可以新增、刪除、修改和使用金鑰來執行密碼編譯作業、管理角色指派來控制對金鑰的存取權、建立完整 HSM 備份、還原完整備份,以及管理安全性網域。
若要在任一平面存取受控 HSM,所有呼叫者都必須有適當的驗證和授權。 驗證會建立呼叫者的身分識別。 授權則會判斷呼叫者可以執行哪些作業。 呼叫者可以是 Microsoft Entra ID 中定義的任何一個安全性主體:使用者、群組、服務主體或受控識別。
這兩個平面都使用 Microsoft Entra ID 進行驗證。 在授權方面,各使用不同的系統:
- 管理平面使用 Azure 角色型存取控制 (Azure RBAC),這是以 Azure Resource Manager 為基礎的授權系統。
- 資料平面使用受控 HSM 層級 RBAC (受控 HSM 本機 RBAC),這是在受控 HSM 層級實作和強制執行的授權系統。
建立受控 HSM 時,要求者會提供資料平面管理員清單 (支援所有安全性主體)。 只有這些管理員才能存取受控 HSM 資料平面,以執行重要作業及管理資料平面角色指派 (受控 HSM 本機 RBAC)。
這兩個平面的權限模型使用相同的語法,但在不同層級強制執行,而且角色指派使用不同的範圍。 管理平面 Azure RBAC 由 Azure Resource Manager 強制執行,而資料平面受控 HSM 本機 RBAC 由受控 HSM 本身強制執行。
重要
向安全性主體授與管理平面存取權,並不會向安全性主體授與資料平面存取權。 例如,具有管理平面存取權的安全性主體,並不會自動擁有金鑰或資料平面角色指派的存取權。 此隔離旨在避免不慎擴張權限,以致越權存取受控 HSM 中儲存的金鑰。
但有例外狀況:具有 Microsoft Entra 全域管理員角色的成員一律可以將使用者新增至受控 HSM 管理員角色以進行復原,例如當不再擁有任何有效的受控 HSM 管理員帳戶時。 如需詳細資訊,請參閱 Microsoft Entra ID 最佳做法來保護全域管理員角色。
例如,訂用帳戶管理員 (因其具有訂用帳戶中所有資源的參與者權限),可以刪除訂用帳戶中的受控 HSM。 但是,如果他們沒有透過受控 HSM 本機 RBAC 特別授與的資料平面存取權,則無法存取受控 HSM 中的金鑰或管理角色指派,也就無法授與自己或其他人資料平面的存取權。
Microsoft Entra 驗證
在 Azure 訂用帳戶中建立受控 HSM 時,受控 HSM 會自動與訂用帳戶的 Microsoft Entra 租用戶建立關聯。 這兩個平面中的所有呼叫者都必須在此租用戶中註冊並通過驗證,才能存取受控 HSM。
應用程式在呼叫任一平面之前,須通過 Microsoft Entra ID 驗證。 應用程式可以根據應用程式類型,使用任何支援的驗證方法。 應用程式獲得權杖以存取平面中的資源。 視 Azure 環境而定,資源會是管理平面或資料平面中的端點。 應用程式使用權杖向受控 HSM 端點傳送 REST API 要求。 若要深入了解,請參閱整個驗證流程。
兩個平面共用單一驗證機制有諸多優點:
- 組織可以集中控制存取組織中的所有受控 HSM。
- 如果使用者離開組織,便會立即無法存取組織中的所有受控 HSM。
- 組織可以藉由使用 Microsoft Entra ID 中的選項 (例如,啟用多重要素驗證以提升安全性) 來自訂驗證。
資源端點
安全性主體透過端點來存取平面。 這兩個平面的存取控制可獨立運作。 若要授權應用程式使用受控 HSM 中的金鑰,請使用受控 HSM 本機 RBAC 來授與資料平面存取權。 若要授權使用者存取受控 HSM 資源來建立、讀取、刪除、移動受控 HSM,以及編輯其他屬性和標記,請使用 Azure RBAC。
下表顯示管理平面和資料平面的端點。
| 存取平面 | 存取端點 | Operations | 存取控制機制 |
|---|---|---|---|
| 管理平面 | 全域:management.azure.com:443 |
建立、讀取、更新、刪除和移動受控 HSM 設定受控 HSM 標記 |
Azure RBAC |
| 資料平面 | 全域:<hsm-name>.managedhsm.azure.net:443 |
金鑰:解密、加密。 解除包裝、包裝、驗證、簽署、取得、列出、更新、建立、匯入、刪除、備份、還原、清除 資料平面角色管理 (受控 HSM 本機 RBAC):列出角色定義、指派角色、刪除角色指派、定義自訂角色 備份與還原:備份、還原、檢查備份與還原作業的狀態 安全性網域:下載和上傳安全性網域 |
受控 HSM 本機 RBAC |
管理平面和 Azure RBAC
在管理平面中,您可以使用 Azure RBAC 授權呼叫者可執行的作業。 在 Azure RBAC 模型中,每個 Azure 訂用帳戶各有一個 Microsoft Entra ID 執行個體。 您可以對來自該目錄的使用者、群組和應用程式授與存取權。 授與存取權即可管理使用 Azure Resource Manager 部署模型的訂用帳戶資源。 若要授與存取權,請使用 Azure 入口網站、Azure CLI、Azure PowerShell 或 Azure Resource Manager REST API。
您可以使用 Microsoft Entra ID 在資源群組中建立金鑰保存庫和管理存取權。 您可以授與使用者或群組管理資源群組中金鑰保存庫的能力。 您指派適當的 Azure 角色,以授權特定範圍層級的存取權。 若要對使用者授與管理金鑰保存庫的權限,您可以在特定範圍對使用者指派預先定義的 key vault Contributor 角色。 您可以對 Azure 角色指派下列範圍層級:
- 管理群組:在訂用帳戶層級指派的 Azure 角色套用至該管理群組中的所有訂用帳戶。
- 訂用帳戶:在訂用帳戶層級指派的 Azure 角色,會套用至該訂用帳戶內的所有資源群組和資源。
- 資源群組:在資源群組層級指派的 Azure 角色,會套用至該資源群組內的所有資源。
- 特定資源:針對特定資源指派的 Azure 角色,會套用至該資源。 在此情況下,資源是特定的金鑰保存庫。
預先定義數個角色。 如果預先定義的角色不符合您的需求,您可以定義您自己的角色。 如需詳細資訊,請參閱 Azure RBAC:內建角色。
資料平面和受控 HSM 本機 RBAC
您指派角色來授權安全性主體執行特定的金鑰作業。 在每個角色指派中,您必須指定角色和該指派套用的範圍。 受控 HSM 本機 RBAC 有兩個範圍可用:
/或/keys:HSM 層級範圍。 在此範圍獲得角色的安全性主體,可以對受控 HSM 中的所有物件 (金鑰) 執行角色中定義的作業。/keys/<key-name>:金鑰層級範圍。 在此範圍獲得角色的安全性主體,只能對指定金鑰的所有版本執行此角色中定義的作業。
下一步
- 如需適用於管理員的入門教學課程,請參閱什麼是受控 HSM?。
- 如需角色管理教學課程,請參閱受控 HSM 本機 RBAC。
- 針對受控 HSM 的使用記錄,如需詳細資訊,請參閱受控 HSM 記錄。