マネージド HSM に対するローカル RBAC 組み込みロール
Azure Key Vault マネージド HSM のローカル ロールベースのアクセス制御 (RBAC) には、いくつかの組み込みロールがあります。 これらのロールを、ユーザー、サービス プリンシパル、グループ、マネージド ID に割り当てることができます。
プリンシパルが操作を実行できるようにするには、その操作を実行するための権限を付与するロールをプリンシパルに割り当てる必要があります。 これらのロールと操作のすべてで可能になるのは、"データ プレーン" 操作に対する権限の管理だけです。 "管理プレーン" の操作については、「Azure 組み込みロール」と「マネージド HSM へのアクセスをセキュリティで保護する」を参照してください。
Managed HSM リソースのコントロール プレーンのアクセス許可を管理するには、Azure ロールベースのアクセス制御 (Azure RBAC) を使用する必要があります。 コントロール プレーン操作の例としては、新しいマネージド HSM の作成やマネージド HSM の更新、移動、削除が挙げられます。
組み込みのロール
| ロール名 | 説明 | id |
|---|---|---|
| Managed HSM 管理者 | セキュリティ ドメイン、完全バックアップと復元、ロール管理に関連するすべての操作を実行するための権限を付与します。 キー管理操作の実行は許可されません。 | a290e904-7015-4bba-90c8-60543313cdb4 |
| Managed HSM 暗号化担当者 | すべてのロール管理の実行、削除されたキーの削除または回復、およびキーのエクスポートを行うアクセス許可を付与します。 他のキー管理操作を実行することは許可されません。 | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM 暗号化ユーザー | キーの消去、削除されたキーの復元、キーのエクスポートを除くすべてのキー管理操作を実行するための権限を付与します。 | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Managed HSM ポリシー管理者 | ロールの割り当てを作成、削除するための権限を付与します。 | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM 暗号化監査担当者 | キーの属性を (使用ではなく) 読み取るための読み取り権限を付与します。 | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Managed HSM 暗号化サービスの暗号化ユーザー | サービス暗号化のためにキーを使用する権限を付与します。 | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Managed HSM Crypto Service リリース ユーザー | 信頼された実行環境にキーを解放するアクセス許可を付与します。 | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM バックアップ | 単一キーまたは HSM 全体でのバックアップを実行するための権限を付与します。 | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Managed HSM の復元 | 単一キーまたは HSM 全体の復元を実行するアクセス許可を付与します。 | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
許容される演算
Note
- 次の表において、X は、ロールがデータ アクションを実行することを許可されていることを示しています。 空のセルは、そのロールにそのデータ アクションを実行するための権限がないことを示しています。
- すべてのデータ アクション名には Microsoft.KeyVault/managedHsm というプレフィックスが付きますが、この表では簡潔にするために省略されています。
- すべてのロール名には Managed HSM というプレフィックスが付きますが、この表では簡潔にするために省略されています。
| データ アクション | 管理者 | Crypto Officer | 暗号化ユーザー | ポリシー管理者 | 暗号化サービスの暗号化ユーザー | バックアップ | 暗号化監査担当者 | Crypto Service Release User | 復元 |
|---|---|---|---|---|---|---|---|---|---|
| セキュリティ ドメインの管理 | |||||||||
| /securitydomain/download/action | x | ||||||||
| /securitydomain/upload/action | x | ||||||||
| /securitydomain/upload/read | x | ||||||||
| /securitydomain/transferkey/read | x | ||||||||
| キー管理 | |||||||||
| /keys/read/action | x | X | x | ||||||
| /keys/write/action | x | ||||||||
| /keys/rotate/action | x | ||||||||
| /keys/create | x | ||||||||
| /keys/delete | x | ||||||||
| /keys/deletedKeys/read/action | x | ||||||||
| /keys/deletedKeys/recover/action | x | ||||||||
| /keys/deletedKeys/delete | x | x | |||||||
| /keys/backup/action | x | x | |||||||
| /keys/restore/action | x | x | |||||||
| /keys/release/action | x | x | |||||||
| /keys/import/action | x | ||||||||
| キーの暗号化操作 | |||||||||
| /keys/encrypt/action | x | ||||||||
| /keys/decrypt/action | x | ||||||||
| /keys/wrap/action | x | x | |||||||
| /keys/unwrap/action | x | x | |||||||
| /keys/sign/action | x | ||||||||
| /keys/verify/action | x | ||||||||
| ロール管理 | |||||||||
| /roleAssignments/read/action | x | X | X | X | x | ||||
| /roleAssignments/write/action | x | X | x | ||||||
| /roleAssignments/delete/action | x | X | x | ||||||
| /roleDefinitions/read/action | x | X | X | X | x | ||||
| /roleDefinitions/write/action | x | X | x | ||||||
| /roleDefinitions/delete/action | x | X | x | ||||||
| バックアップと復元の管理 | |||||||||
| /backup/start/action | x | x | |||||||
| /backup/status/action | x | x | |||||||
| /restore/start/action | x | x | |||||||
| /restore/status/action | x | X |
次のステップ
- Azure RBAC の概要を参照してください。
- マネージド HSM ロール管理に関するチュートリアルを参照してください。