Rollenverwaltung für verwaltetes HSM
Hinweis
Von Key Vault werden zwei Arten von Ressourcen unterstützt: Tresore und verwaltete HSMs. In diesem Artikel werden verwaltete HSMs behandelt. Informationen zum Verwalten eines Tresors finden Sie unter Verwalten von Key Vault mit der Azure CLI.
Eine Übersicht über verwaltete HSMs finden Sie unter Was ist verwaltetes HSM von Azure Key Vault? (Vorschauversion). Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
In diesem Artikel erfahren Sie, wie Sie Rollen für die Datenebene eines verwalteten HSM verwalten. Weitere Informationen zum Zugriffssteuerungsmodell für verwaltete HSMs finden Sie unter Zugriffssteuerung für verwaltetes HSM.
Damit ein Sicherheitsprinzipal (beispielsweise ein Benutzer, ein Dienstprinzipal, eine Gruppe oder eine verwaltete Identität) Vorgänge auf der Datenebene eines verwalteten HSM ausführen kann, muss ihm eine Rolle zugewiesen werden, die die Ausführung dieser Vorgänge ermöglicht. Wenn Sie also beispielsweise einer Anwendung das Ausführen eines Signierungsvorgangs mit einem Schlüssel erlauben möchten, muss ihr eine Rolle zugewiesen werden, die „Microsoft.KeyVault/managedHSM/keys/sign/action“ als eine der Datenaktionen enthält. Eine Rolle kann in einem bestimmten Bereich zugewiesen werden. Die lokale RBAC für verwaltete HSMs unterstützt zwei Bereiche: HSM-weit (/ oder /keys) und schlüsselspezifisch (/keys/<keyname>).
Eine Liste mit allen integrierten Rollen für verwaltete HSMs sowie mit den zulässigen Vorgängen finden Sie unter Integrierte Rollen der lokalen RBAC für verwaltete HSMs.
Voraussetzungen
Für die Verwendung der Azure CLI-Befehle in diesem Artikel benötigen Sie Folgendes:
- Ein Abonnement für Microsoft Azure. Falls Sie über kein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.
- Azure-Befehlszeilenschnittstelle ab Version 2.25.0 Führen Sie
az --versionaus, um die Version zu ermitteln. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI. - Ein verwaltetes HSM in Ihrem Abonnement. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure-Befehlszeilenschnittstelle. Dort erfahren Sie, wie Sie ein verwaltetes HSM bereitstellen und aktivieren.
Azure Cloud Shell
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
Starten von Azure Cloud Shell:
| Option | Beispiel/Link |
|---|---|
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. |  |
| Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen. |  |
| Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. |  |
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.
Anmelden bei Azure
Geben Sie Folgendes ein, um sich über die Befehlszeilenschnittstelle bei Azure anzumelden:
az login
Weitere Informationen zu den Anmeldeoptionen für die Befehlszeilenschnittstelle finden Sie unter Anmelden mit der Azure CLI.
Erstellen einer neuen Rollenzuweisung
Zuweisen von Rollen für alle Schlüssel
Verwenden Sie den Befehl az keyvault role assignment create, um dem durch den Benutzerprinzipalnamen user2@contoso.com identifizierten Benutzer die Rolle Kryptografiebenutzer für verwaltete HSMs für alle Schlüssel (Bereich /keys) in „ContosoHSM“ zuzuweisen.
az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto User" --assignee user2@contoso.com --scope /keys
Zuweisen einer Rolle für einen bestimmten Schlüssel
Verwenden Sie den Befehl az keyvault role assignment create, um dem durch den Benutzerprinzipalnamen user2@contoso.com identifizierten Benutzer die Rolle Kryptografiebenutzer für verwaltete HSMs für einen bestimmten Schlüssel namens myrsakey zuzuweisen.
az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto User" --assignee user2@contoso.com --scope /keys/myrsakey
Auflisten der vorhandenen Rollenzuweisungen
Verwenden Sie az keyvault role assignment list, um Rollenzuweisungen aufzulisten.
Alle Rollenzuweisungen im Bereich „/“ (Standard ohne Angabe von „--scope“) für alle Benutzer (Standard ohne Angabe von „--assignee“):
az keyvault role assignment list --hsm-name ContosoMHSM
Alle Rollenzuweisungen auf der HSM-Ebene für einen bestimmten Benutzer ( user1@contoso.com ):
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user@contoso.com
Hinweis
Wird für Bereich „/“ (oder „/keys“) festgelegt, werden mit dem Auflistungsbefehl nur alle Rollenzuweisungen auf der obersten Ebene aufgeführt, aber keine Rollenzuweisungen auf der Ebene einzelner Schlüssel.
Alle Rollenzuweisungen für eine*n bestimmte*n Benutzer*in (user2@contoso.com) und einen bestimmten Schlüssel (myrsakey).
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey
Eine bestimmte Rollenzuweisung für die Rolle Managed HSM Crypto Officer (Kryptoverantwortlicher für verwaltete HSMs), einen bestimmten Benutzer ( user2@contoso.com ) und einen bestimmten Schlüssel (myrsakey):
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey --role "Managed HSM Crypto Officer"
Löschen einer Rollenzuweisung
Verwenden Sie den Befehl az keyvault role assignment delete, um die Rolle Managed HSM Crypto Officer (Kryptoverantwortlicher für verwaltete HSMs) zu löschen, die dem/der Benutzer*in user2@contoso.com für den Schlüssel myrsakey2 zugewiesen ist:
az keyvault role assignment delete --hsm-name ContosoMHSM --role "Managed HSM Crypto Officer" --assignee user2@contoso.com --scope /keys/myrsakey2
Auflisten aller verfügbaren Rollendefinitionen
Verwenden Sie den Befehl az keyvault role definition list, um alle Rollendefinitionen aufzulisten:
az keyvault role definition list --hsm-name ContosoMHSM
Erstellen einer neuen Rollendefinition
Verwaltetes HSM verfügt über mehrere integrierte (vordefinierte) Rollen, die für die gängigsten Verwendungsszenarien nützlich sind. Sie können eine eigene Rolle mit einer Liste spezifischer Aktionen definieren, die die Rolle ausführen darf. Anschließend können Sie diese Rolle Prinzipalen zuweisen, um Ihnen die Berechtigungen für die angegebenen Aktionen zu erteilen.
Führen Sie unter Verwendung einer JSON-Zeichenfolge den Befehl az keyvault role definition create für eine Rolle namens My Custom Role aus.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition '{
"roleName": "My Custom Role",
"description": "The description of the custom rule.",
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/managedHsm/keys/read/action"
],
"notDataActions": []
}'
Verwenden Sie den Befehl az keyvault role definition create für eine Rolle aus einer Datei mit dem Namen my-custom-role-definition.json, die die JSON-Zeichenfolge für eine Rollendefinition enthält. Siehe Beispiel oben.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition @my-custom-role-definition.json
Anzeigen der Details einer Rollendefinition
Verwenden Sie den Befehl az keyvault role definition show, um mithilfe des Namens (GUID) Details zu einer bestimmten Rollendefinition anzuzeigen.
az keyvault role definition show --hsm-name ContosoMHSM --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Aktualisieren einer benutzerdefinierten Rollendefinition
Verwenden Sie den Befehl az keyvault role definition update, um mithilfe einer JSON-Zeichenfolge eine Rolle namens My Custom Role zu aktualisieren.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition '{
"roleName": "My Custom Role",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"id": "Microsoft.KeyVault/providers/Microsoft.Authorization/roleDefinitions/xxxxxxxx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"description": "The description of the custom rule.",
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/managedHsm/keys/read/action",
"Microsoft.KeyVault/managedHsm/keys/write/action",
"Microsoft.KeyVault/managedHsm/keys/backup/action",
"Microsoft.KeyVault/managedHsm/keys/create"
],
"notDataActions": []
}'
Löschen von benutzerdefinierten Rollendefinition
Verwenden Sie den Befehl az keyvault role definition delete, um mithilfe des Namens (GUID) Details zu einer bestimmten Rollendefinition anzuzeigen.
az keyvault role definition delete --hsm-name ContosoMHSM --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Hinweis
Integrierte Rollen können nicht gelöscht werden. Wenn benutzerdefinierte Rollen gelöscht werden, werden alle Rollenzuweisungen, die diese benutzerdefinierte Rolle verwenden, außer Kraft gesetzt.
Nächste Schritte
- Sehen Sie sich eine Übersicht über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) an.
- Sehen Sie sich ein Tutorial zur Rollenverwaltung für verwaltetes HSM an.
- Informieren Sie sich ausführlicher über das Zugriffssteuerungsmodell für verwaltete HSMs.
- Sehen Sie sich alle integrierten Rollen der lokalen RBAC für verwaltete HSMs an.