Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом на основе ролей (RBAC) в Управляемом azure HSM имеет несколько встроенных ролей. Эти роли можно назначать пользователям, субъектам-службам, группам и управляемым удостоверениям. В этой статье приведены справочные сведения об этих ролях и разрешенных операциях.
Чтобы разрешить субъекту выполнять операцию, необходимо назначить им роль, которая предоставляет им разрешения на выполнение операций. Все эти роли и операции позволяют управлять разрешениями только для плоскости данных операций. Сведения об операциях плоскости управления см. в встроенных ролях Azure и управлении доступом для управляемого устройства HSM: плоскости управления и Azure RBAC.
Чтобы управлять разрешениями уровня управления для управляемого ресурса HSM, необходимо использовать управление доступом на основе ролей Azure (Azure RBAC). Некоторые примеры операций плоскости управления — создание управляемого устройства HSM или обновление, перемещение или удаление управляемого устройства HSM.
Встроенные роли
Чтобы разрешить субъекту выполнять операцию, необходимо назначить им роль, которая предоставляет им разрешения на выполнение операций.
В следующей таблице перечислены встроенные роли для локального RBAC управляемого модуля HSM. Каждая роль имеет уникальный идентификатор, который можно использовать для назначения роли.
| Имя роли | Описание | Идентификатор |
|---|---|---|
| администратор Управляемого устройства HSM; | Предоставляет разрешения на выполнение всех операций, связанных с доменом безопасности, полным резервным копированием и восстановлением и управлением ролями. Не разрешено выполнять какие-либо операции управления ключами. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Директор по шифрованию управляемого устройства HSM | Предоставляет разрешения на управление всеми ролями, очистку или восстановление удаленных ключей и экспорт ключей. Не разрешено выполнять другие операции управления ключами. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Пользователь шифрования управляемого устройства HSM | Предоставляет разрешения на выполнение всех операций управления ключами, кроме очистки или восстановления удаленных ключей и экспорта ключей. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Администратор политики управляемого устройства HSM | Предоставляет разрешения на создание и удаление назначений ролей. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Аудитор системы шифрования управляемого устройства HSM | Предоставляет разрешения на чтение (но не использовать) ключевые атрибуты. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Пользователь шифрования службы шифрования службы шифрования управляемых устройств HSM | Предоставляет разрешения на использование ключа для шифрования служб. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Пользователь выпуска управляемой службы шифрования HSM | Предоставляет разрешения на освобождение ключа в доверенной среде выполнения. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| резервное копирование Управляемого устройства HSM. | Предоставляет разрешения на выполнение одноключного или полного резервного копирования HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Восстановление управляемого устройства HSM | Предоставляет разрешения на восстановление с одним ключом или целым HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Разрешенные операции
Примечание.
- В следующей таблице X указывает, что роль разрешена для выполнения действия данных. Пустая ячейка указывает, что роль не имеет разрешения на выполнение этого действия данных.
- Все имена действий данных имеют префикс Microsoft.KeyVault/managedHsm, который опущен в таблице для краткости.
- Все имена ролей имеют префикс управляемого модуля HSM, который опущен в следующей таблице для краткости.
| Действие данных | Администратор | Администратор системы шифрования | Пользователь crypto | Администратор политики | Пользователь шифрования криптослужбы | Резервное копирование | Аудитор шифрования | Пользователь выпуска службы шифрования | Восстановить |
|---|---|---|---|---|---|---|---|---|---|
| управление доменами безопасности | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Управление ключами | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| криптографические операции ключей | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| управления ролями | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| управления резервным копированием и восстановлением | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Дальнейшие действия
- Общие сведения о Azure RBAC.
- Ознакомьтесь с руководством по управлению управляемыми ролями HSM.