Ingebouwde rollen voor lokale RBAC voor beheerde HSM
Azure Key Vault: lokaal op rollen gebaseerd toegangsbeheer (RBAC) van Azure Key Vault heeft verschillende ingebouwde rollen. U kunt deze rollen toewijzen aan gebruikers, service-principals, groepen en beheerde identiteiten.
Als u een principal wilt toestaan een bewerking uit te voeren, moet u deze een rol toewijzen waarmee ze machtigingen krijgen om die bewerkingen uit te voeren. Met al deze rollen en bewerkingen kunt u alleen machtigingen beheren voor gegevensvlakbewerkingen . Zie ingebouwde Azure-rollen en beveiligde toegang tot uw beheerde HSM's voor beheervlakbewerkingen.
Als u machtigingen voor het besturingsvlak voor de beheerde HSM-resource wilt beheren, moet u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken. Enkele voorbeelden van besturingsvlakbewerkingen zijn het maken van een nieuwe beheerde HSM of het bijwerken, verplaatsen of verwijderen van een beheerde HSM.
Ingebouwde rollen
| Rolnaam | Description | Id |
|---|---|---|
| Beheerder van beheerde HSM | Verleent machtigingen voor het uitvoeren van alle bewerkingen met betrekking tot het beveiligingsdomein, volledige back-up en herstel en rolbeheer. Het is niet toegestaan om sleutelbeheerbewerkingen uit te voeren. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Crypto Officer van beheerde HSM | Verleent machtigingen voor het uitvoeren van alle rolbeheer, het opschonen of herstellen van verwijderde sleutels en het exporteren van sleutels. Niet toegestaan om andere bewerkingen voor sleutelbeheer uit te voeren. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Cryptogebruiker van beheerde HSM | Verleent machtigingen voor het uitvoeren van alle bewerkingen voor sleutelbeheer, met uitzondering van het opschonen of herstellen van verwijderde sleutels en exportsleutels. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Beleidsbeheerder van beheerde HSM | Verleent machtigingen voor het maken en verwijderen van roltoewijzingen. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Cryptoauditor van beheerde HSM | Verleent leesmachtigingen voor het lezen (maar niet gebruiken) van sleutelkenmerken. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Versleutelingsgebruiker voor beheerde HSM Crypto Service | Verleent machtigingen voor het gebruik van een sleutel voor serviceversleuteling. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Gebruiker van de release van beheerde HSM Crypto Service | Verleent machtigingen om een sleutel vrij te geven aan een vertrouwde uitvoeringsomgeving. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Back-up van beheerde HSM | Verleent machtigingen voor het uitvoeren van back-ups met één sleutel of een hele HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Beheerde HSM-herstel | Verleent machtigingen voor het uitvoeren van herstel met één sleutel of hele HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Toegestane bewerkingen
Notitie
- In de volgende tabel geeft een X aan dat een rol de gegevensactie mag uitvoeren. Een lege cel geeft aan dat de rol geen machtigingen heeft om die gegevensactie uit te voeren.
- Alle namen van de gegevensacties hebben het voorvoegsel Microsoft.KeyVault/managedHsm, dat wordt weggelaten in de tabel voor beknoptheid.
- Alle rolnamen hebben het voorvoegsel Beheerde HSM, dat wordt weggelaten in de volgende tabel voor beknoptheid.
| Gegevensactie | Beheerder | Crypto Officer | Cryptogebruiker | Beleidsbeheerder | CryptoService-versleutelingsgebruiker | Backup | Cryptoauditor | Crypto Service Release-gebruiker | Herstellen |
|---|---|---|---|---|---|---|---|---|---|
| Beveiligingsdomeinbeheer | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Sleutelbeheer | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Belangrijke cryptografische bewerkingen | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Rolbeheer | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Back-up- en herstelbeheer | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Volgende stappen
- Bekijk een overzicht van Azure RBAC.
- Zie een zelfstudie over het beheer van beheerde HSM-rollen.