Azure 托管 HSM 本地基于角色的访问控制(RBAC)具有多个内置角色。 可以将这些角色分配给用户、服务主体、组和托管标识。 本文提供了这些角色及其允许的作的参考。
若要允许主体执行某一操作,必须为其分配一个角色,以向该角色授予执行这些操作的角色。 通过这些角色和操作,你只能管理数据平面操作的权限。 有关控制平面作,请参阅托管 HSM 的 Azure 内置角色和访问控制:控制平面和 Azure RBAC。
若要管理托管 HSM 资源的控制平面权限,必须使用 Azure 基于角色的访问控制 (Azure RBAC)。 控制平面操作的一些示例包括创建新的托管 HSM 或对其进行更新、移动、删除操作。
内置角色
若要允许主体执行某一操作,必须为其分配一个角色,以向该角色授予执行这些操作的角色。
下表列出了托管 HSM 本地 RBAC 的内置角色。 每个角色都有一个唯一的 ID,可用于分配角色。
| 角色名称 | 说明 | 身份证件 |
|---|---|---|
| 托管 HSM 管理员 | 授予执行与安全域、完全备份/还原和角色管理有关的所有操作的权限。 不允许执行任何密钥管理操作。 | a290e904-7015-4bba-90c8-60543313cdb4 |
| 托管 HSM 加密管理人员 | 授予执行所有角色管理、清除或恢复已删除密钥以及导出密钥的权限。 不允许执行任何其他的密钥管理操作。 | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| 托管 HSM 加密用户 | 授予执行除清除或恢复已删除密钥和导出密钥以外的所有密钥管理操作的权限。 | 21dbd100-6940-42c2-9190-5d6cb909625b |
| 托管 HSM 策略管理员 | 授予创建和删除角色分配的权限 | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| 托管 HSM 加密审核者 | 授予读取(但不使用)密钥属性的读取权限。 | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| 托管 HSM 加密服务加密用户 | 授予使用密钥进行服务加密的权限。 | 33413926-3206-4cdd-b39a-83574fe37a17 |
| 托管 HSM 加密服务发布用户 | 授予将密钥发布到受信任执行环境的权限。 | 21dbd100-6940-42c2-9190-5d6cb909625c |
| 托管 HSM 备份 | 授予执行单个密钥或完整 HSM 备份的权限。 | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| 托管 HSM 还原 | 授予执行单键或全 HSM 还原的权限。 | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
允许执行的运算
注意
- 在以下表格中,“X”表示允许某个角色执行数据操作。 空单元格指示角色无权执行该数据作。
- 所有数据操作名称均带有“Microsoft.KeyVault/managedHsm”前缀,为简洁起见,表中省略了该前缀。
- 所有角色名字均带有前缀“托管 HSM”,下表为了表示简洁,省略了该前缀。
| 数据操作 | 管理员 | 加密管理人员 | 加密用户 | “策略管理员” | 加密学服务加密用户 | 备份 | 加密审核者 | 加密服务发布用户 | 还原 |
|---|---|---|---|---|---|---|---|---|---|
| 安全域管理 | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| 密钥管理 | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| 密钥加密操作 | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| 角色管理 | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| 备份和还原管理 | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
后续步骤
- 查看 Azure RBAC 概述。
- 请参阅有关托管 HSM 角色管理的教程。