次の方法で共有


マネージド HSM に対するローカル RBAC 組み込みロール

Azure Key Vault マネージド HSM のローカル ロールベースのアクセス制御 (RBAC) には、いくつかの組み込みロールがあります。 これらのロールを、ユーザー、サービス プリンシパル、グループ、マネージド ID に割り当てることができます。

プリンシパルが操作を実行できるようにするには、その操作を実行するための権限を付与するロールをプリンシパルに割り当てる必要があります。 これらのロールと操作のすべてで可能になるのは、"データ プレーン" 操作に対する権限の管理だけです。 "管理プレーン" の操作については、「Azure 組み込みロール」と「マネージド HSM へのアクセスをセキュリティで保護する」を参照してください。

Managed HSM リソースのコントロール プレーンのアクセス許可を管理するには、Azure ロールベースのアクセス制御 (Azure RBAC) を使用する必要があります。 コントロール プレーン操作の例としては、新しいマネージド HSM の作成やマネージド HSM の更新、移動、削除が挙げられます。

組み込みのロール

ロール名 説明 id
Managed HSM 管理者 セキュリティ ドメイン、完全バックアップと復元、ロール管理に関連するすべての操作を実行するための権限を付与します。 キー管理操作の実行は許可されません。 a290e904-7015-4bba-90c8-60543313cdb4
Managed HSM 暗号化担当者 すべてのロール管理の実行、削除されたキーの削除または回復、およびキーのエクスポートを行うアクセス許可を付与します。 他のキー管理操作を実行することは許可されません。 515eb02d-2335-4d2d-92f2-b1cbdf9c3778
Managed HSM 暗号化ユーザー キーの消去、削除されたキーの復元、キーのエクスポートを除くすべてのキー管理操作を実行するための権限を付与します。 21dbd100-6940-42c2-9190-5d6cb909625b
Managed HSM ポリシー管理者 ロールの割り当てを作成、削除するための権限を付与します。 4bd23610-cdcf-4971-bdee-bdc562cc28e4
Managed HSM 暗号化監査担当者 キーの属性を (使用ではなく) 読み取るための読み取り権限を付与します。 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3
Managed HSM 暗号化サービスの暗号化ユーザー サービス暗号化のためにキーを使用する権限を付与します。 33413926-3206-4cdd-b39a-83574fe37a17
Managed HSM Crypto Service リリース ユーザー 信頼された実行環境にキーを解放するアクセス許可を付与します。 21dbd100-6940-42c2-9190-5d6cb909625c
Managed HSM バックアップ 単一キーまたは HSM 全体でのバックアップを実行するための権限を付与します。 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8
Managed HSM の復元 単一キーまたは HSM 全体の復元を実行するアクセス許可を付与します。 6efe6056-5259-49d2-8b3d-d3d73544b20b

許容される演算

Note

  • 次の表において、X は、ロールがデータ アクションを実行することを許可されていることを示しています。 空のセルは、そのロールにそのデータ アクションを実行するための権限がないことを示しています。
  • すべてのデータ アクション名には Microsoft.KeyVault/managedHsm というプレフィックスが付きますが、この表では簡潔にするために省略されています。
  • すべてのロール名には Managed HSM というプレフィックスが付きますが、この表では簡潔にするために省略されています。
データ アクション 管理者 Crypto Officer 暗号化ユーザー ポリシー管理者 暗号化サービスの暗号化ユーザー バックアップ 暗号化監査担当者 Crypto Service Release User 復元
セキュリティ ドメインの管理
/securitydomain/download/action x
/securitydomain/upload/action x
/securitydomain/upload/read x
/securitydomain/transferkey/read x
キー管理
/keys/read/action x X x
/keys/write/action x
/keys/rotate/action x
/keys/create x
/keys/delete x
/keys/deletedKeys/read/action x
/keys/deletedKeys/recover/action x
/keys/deletedKeys/delete x x
/keys/backup/action x x
/keys/restore/action x x
/keys/release/action x x
/keys/import/action x
キーの暗号化操作
/keys/encrypt/action x
/keys/decrypt/action x
/keys/wrap/action x x
/keys/unwrap/action x x
/keys/sign/action x
/keys/verify/action x
ロール管理
/roleAssignments/read/action x X X X x
/roleAssignments/write/action x X x
/roleAssignments/delete/action x X x
/roleDefinitions/read/action x X X X x
/roleDefinitions/write/action x X x
/roleDefinitions/delete/action x X x
バックアップと復元の管理
/backup/start/action x x
/backup/status/action x x
/restore/start/action x x
/restore/status/action x X

次のステップ