Integrierte Rollen der lokalen RBAC für verwaltete HSMsManaged HSM local RBAC built-in roles

Die lokale RBAC für verwaltete HSMs verfügt über mehrere integrierte Rollen, die Sie Benutzern, Dienstprinzipalen, Gruppen und verwalteten Identitäten zuweisen können.Managed HSM local RBAC has several built-in roles that you can assign to users, service principals, groups, and managed identities. Damit ein Prinzipal einen Vorgang ausführen kann, müssen Sie ihm eine Rolle zuweisen, die ihn zur Ausführung der entsprechenden Vorgänge berechtigt.To allow a principal to perform an operation you must assign them a role that grants them permission to perform that operations. Mit allen diesen Rollen und Vorgängen können nur Berechtigungen für Vorgänge auf der Datenebene verwaltet werden.All these roles and operations only allow you to manage permission for data plane operations. Wenn Sie Berechtigungen auf der Steuerungsebene für die verwaltete HSM-Ressource verwalten möchten (etwa zum Erstellen eines neuen verwalteten HSM oder zum Aktualisieren, Verschieben oder Löschen eines bereits vorhandenen HSM) müssen Sie die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwenden.To manage control plane permissions for the Managed HSM resource (such as create a new managed HSM or update, move, delete an existing one), you must use Azure role-based access control (Azure RBAC).

Integrierte RollenBuilt-in roles

RollennameRole Name BESCHREIBUNGDescription idID
Managed HSM Administrator (Administrator für verwaltete HSMs)Managed HSM Administrator Gewährt Vollzugriff auf alle Datenaktionen.Grants full access to all data actions. a290e904-7015-4bba-90c8-60543313cdb4a290e904-7015-4bba-90c8-60543313cdb4
Managed HSM Crypto Officer (Kryptoverantwortlicher für verwaltete HSMs)Managed HSM Crypto Officer Gewährt Vollzugriff auf alle Schlüsselverwaltungsvorgänge und kryptografischen Schlüsselvorgänge.Grants full access to all key management and key cryptographic operations 515eb02d-2335-4d2d-92f2-b1cbdf9c3778515eb02d-2335-4d2d-92f2-b1cbdf9c3778
Managed HSM Crypto User (Kryptografiebenutzer für verwaltete HSMs)Managed HSM Crypto User Gewährt Zugriff zum Erstellen und Verwenden von Schlüsseln für kryptografische Vorgänge.Grants access to create and use keys for cryptographic operations. Kann Schlüssel nicht endgültig löschen.Cannot permanently delete keys. 21dbd100-6940-42c2-9190-5d6cb909625b21dbd100-6940-42c2-9190-5d6cb909625b
Managed HSM Policy Administrator (Richtlinienadministrator für verwaltete HSMs)Managed HSM Policy Administrator Erteilt die Berechtigung zum Erstellen und Löschen von Rollenzuweisungen.Grants permission to create and delete role assignments 4bd23610-cdcf-4971-bdee-bdc562cc28e44bd23610-cdcf-4971-bdee-bdc562cc28e4
Managed HSM Crypto Auditor (Kryptografieprüfer für verwaltete HSMs)Managed HSM Crypto Auditor Erteilt die Berechtigung zum Lesen (aber nicht zum Verwenden) von Schlüsseln.Grants read permission to read (but not use) keys 2c18b078-7c48-4d3a-af88-5a3a1b3f82b32c18b078-7c48-4d3a-af88-5a3a1b3f82b3
Managed HSM Crypto Service Encryption (Kryptografiedienstverschlüsselung für verwaltete HSMs)Managed HSM Crypto Service Encryption Erteilt die Berechtigung zum Verwenden eines Schlüssels für die Dienstverschlüsselung.Grants permission to use a key for service encryption. 33413926-3206-4cdd-b39a-83574fe37a1733413926-3206-4cdd-b39a-83574fe37a17
Managed HSM Backup (Sicherung verwalteter HSMs)Managed HSM Backup Erteilt die Berechtigung zum Ausführen einer HSM-Sicherung für einen einzelnen Schlüssel oder einer vollständigen HSM-Sicherung.Grants permission to perform single key or whole HSM backup. 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f87b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8

Erlaubte VorgängePermitted operations

Hinweis

  • Ein „X“ gibt an, dass eine Rolle zum Ausführen der Datenaktion berechtigt ist.An 'X' indicates that a role is allowed to perform the data action. Eine leere Zelle bedeutet, dass die Rolle nicht zum Ausführen der Datenaktion berechtigt ist.Empty cell indicates the role does not have pemission to perform that data action.
  • Alle Datenaktionsnamen haben das Präfix „Microsoft.KeyVault/managedHsm“. Dieses wurde in den folgenden Tabellen zur besseren Übersichtlichkeit weggelassen.All the data action names have a 'Microsoft.KeyVault/managedHsm' prefix, which is omitted in the tables below for brevity.
  • Alle Rollennamen haben das Suffix „für verwaltete HSMs“. Dieses wurde in der folgenden Tabelle zur besseren Übersichtlichkeit weggelassen.All role names have a prefix "Managed HSM" which is omitted in the below table for brevity.
DatenaktionData Action AdministratorAdministrator KryptoverantwortlicherCrypto Officer KryptografiebenutzerCrypto User Richtlinien-AdministratorPolicy Administrator KryptografiedienstverschlüsselungCrypto Service Encryption BackupBackup KryptografieprüferCrypto Auditor
Verwaltung der SicherheitsdomäneSecurity Domain management
/securitydomain/download/action/securitydomain/download/action
X
X
/securitydomain/upload/action/securitydomain/upload/action
X
X
/securitydomain/upload/read/securitydomain/upload/read
X
X
/securitydomain/transferkey/read/securitydomain/transferkey/read
X
X
SchlüsselverwaltungKey management
/keys/read/action/keys/read/action
X
X
X
X
X
X
X
X
X
X
/keys/write/action/keys/write/action
X
X
X
X
X
X
/keys/create/keys/create
X
X
X
X
X
X
/keys/delete/keys/delete
X
X
X
X
/keys/deletedKeys/read/action/keys/deletedKeys/read/action
X
X
X
X
/keys/deletedKeys/recover/action/keys/deletedKeys/recover/action
X
X
X
X
/keys/deletedKeys/delete/keys/deletedKeys/delete
X
X
X
X
X
X
/keys/backup/action/keys/backup/action
X
X
X
X
X
X
X
X
/keys/restore/action/keys/restore/action
X
X
X
X
/keys/export/action/keys/export/action
X
X
X
X
/keys/import/action/keys/import/action
X
X
X
X
Kryptografische SchlüsselvorgängeKey cryptographic operations
/keys/encrypt/action/keys/encrypt/action
X
X
X
X
X
X
/keys/decrypt/action/keys/decrypt/action
X
X
X
X
X
X
/keys/wrap/action/keys/wrap/action
X
X
X
X
X
X
X
X
/keys/unwrap/action/keys/unwrap/action
X
X
X
X
X
X
X
X
/keys/sign/action/keys/sign/action
X
X
X
X
X
X
/keys/verify/action/keys/verify/action
X
X
X
X
X
X
RollenverwaltungRole management
/roleAssignments/delete/action/roleAssignments/delete/action
X
X
X
X
/roleAssignments/read/action/roleAssignments/read/action
X
X
X
X
/roleAssignments/write/action/roleAssignments/write/action
X
X
X
X
/roleDefinitions/read/action/roleDefinitions/read/action
X
X
X
X
Verwaltung der Sicherung/WiederherstellungBackup/Restore management
/backup/start/action/backup/start/action
X
X
X
X
/backup/status/action/backup/status/action
X
X
X
X
/restore/start/action/restore/start/action
X
X
/restore/status/action/restore/status/action
X
X

Nächste SchritteNext steps