Integrierte Rollen der lokalen RBAC für verwaltetes HSM
Die lokale rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für verwaltetes Azure Key Vault-HSM beinhaltet mehrere integrierte Rollen. Diese Rollen können Benutzern, Dienstprinzipalen, Gruppen und verwalteten Identitäten zugewiesen werden.
Damit ein Prinzipal einen Vorgang ausführen kann, müssen Sie ihm eine Rolle zuweisen, die ihn zur Ausführung der entsprechenden Vorgänge berechtigt. Mit allen diesen Rollen und Vorgängen können nur Berechtigungen für Vorgänge auf der Datenebene verwaltet werden. Informationen zu Verwaltungsebene-Vorgängen finden Sie in den integrierten Azure-Rollen und dem Sicheren Zugriff auf Ihre verwalteten HSMs.
Wenn Sie Berechtigungen auf der Steuerungsebene für die verwaltete HSM-Ressource verwalten möchten müssen Sie die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwenden. Beispiele für Vorgänge auf der Steuerungsebene sind etwa das Erstellen eines neuen verwalteten HSM oder das Aktualisieren, Verschieben oder Löschen eines verwalteten HSM.
Integrierte Rollen
| Rollenname | BESCHREIBUNG | id |
|---|---|---|
| Managed HSM Administrator (Administrator für verwaltete HSMs) | Erteilt Berechtigungen zum Ausführen aller Vorgänge im Zusammenhang mit der Sicherheitsdomäne, der vollständigen Sicherung/Wiederherstellung und der Rollenverwaltung. Darf keine Schlüsselverwaltungsvorgänge ausführen. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Managed HSM Crypto Officer (Kryptoverantwortlicher für verwaltete HSMs) | Erteilt Berechtigungen zum Ausführen aller Rollenverwaltungsaufgaben, zum Löschen oder Wiederherstellen gelöschter Schlüssel und zum Exportieren von Schlüsseln. Darf keine anderen Schlüsselverwaltungsvorgänge ausführen. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM Crypto User (Kryptografiebenutzer für verwaltete HSMs) | Erteilt Berechtigungen zum Ausführen aller Schlüsselverwaltungsvorgänge mit Ausnahme von Lösch-, Wiederherstellungs- und Exportvorgängen für Schlüssel. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Managed HSM Policy Administrator (Richtlinienadministrator für verwaltete HSMs) | Erteilt Berechtigungen zum Erstellen und Löschen von Rollenzuweisungen. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM Crypto Auditor (Kryptografieprüfer für verwaltete HSMs) | Erteilt Leseberechtigungen zum Lesen (aber nicht Verwenden) von Schlüsselattributen. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Managed HSM Crypto Service Encryption User (Benutzer der Kryptografiedienstverschlüsselung für verwaltete HSMs) | Erteilt Berechtigungen zum Verwenden eines Schlüssels für die Dienstverschlüsselung. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Verwalteter HSM Crypto Service Release-Benutzer | Gewährt Berechtigungen zum Freigeben eines Schlüssels für eine vertrauenswürdige Ausführungsumgebung. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM Backup (Sicherung verwalteter HSMs) | Erteilt Berechtigungen zum Ausführen einer HSM-Sicherung für einen einzelnen Schlüssel oder einer vollständigen HSM-Sicherung. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Verwaltete HSM-Wiederherstellung | Gewährt Berechtigungen zum Ausführen einer Einzelschlüssel- oder Ganz-HSM-Wiederherstellung. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Erlaubte Vorgänge
Hinweis
- In der folgenden Tabelle gibt ein X an, dass eine Rolle zum Ausführen der Datenaktion berechtigt ist. Eine leere Zelle bedeutet, dass die Rolle nicht zum Ausführen der Datenaktion berechtigt ist.
- Alle Datenaktionsnamen haben das Präfix Microsoft.KeyVault/managedHsm. Dieses wurde in den Tabellen zur besseren Übersichtlichkeit weggelassen.
- Alle Rollennamen haben das Präfix Verwaltetes HSM. Dieses wurde in der folgenden Tabelle zur besseren Übersichtlichkeit weggelassen.
| Datenaktion | Administrator | Kryptoverantwortlicher | Kryptografiebenutzer | Richtlinien-Administrator | Benutzer der Kryptografiedienstsverschlüsselung | Backup | Kryptografieprüfer | Crypto Service Release User | Wiederherstellen |
|---|---|---|---|---|---|---|---|---|---|
| Verwaltung der Sicherheitsdomäne | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Schlüsselverwaltung | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Kryptografische Schlüsselvorgänge | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Rollenverwaltung | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Verwaltung der Sicherung und Wiederherstellung | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Nächste Schritte
- Hier finden Sie eine Übersicht über die Azure RBAC.
- Sehen Sie sich ein Tutorial zur Rollenverwaltung für verwaltetes HSM an.