Rôles RBAC locaux intégrés au HSM managéManaged HSM local RBAC built-in roles
Il existe plusieurs rôles RBAC locaux intégrés au HSM managé que vous pouvez attribuer aux utilisateurs, aux principaux de service, aux groupes et aux identités managées.Managed HSM local RBAC has several built-in roles that you can assign to users, service principals, groups, and managed identities. Pour permettre à un principal d’effectuer une opération, vous devez lui attribuer un rôle qui lui accorde l’autorisation d’effectuer cette opération.To allow a principal to perform an operation you must assign them a role that grants them permission to perform that operations. L’ensemble de ces rôles et de ces opérations vous permettent uniquement de gérer les autorisations pour les opérations de plan de données.All these roles and operations only allow you to manage permission for data plane operations. Si vous souhaitez gérer les autorisations de plan de contrôle pour la ressource Managed HSM (par exemple, créer un HSM managé, ou mettre à jour, déplacer ou supprimer un HSM existant), vous devez utiliser le contrôle d’accès en fonction du rôle (RBAC Azure) Azure.To manage control plane permissions for the Managed HSM resource (such as create a new managed HSM or update, move, delete an existing one), you must use Azure role-based access control (Azure RBAC).
Rôles intégrésBuilt-in roles
| Nom du rôleRole Name | DescriptionDescription | idID |
|---|---|---|
| Administrateur du HSM managéManaged HSM Administrator | Accorde un accès complet à toutes les actions de données.Grants full access to all data actions. | a290e904-7015-4bba-90c8-60543313cdb4a290e904-7015-4bba-90c8-60543313cdb4 |
| Responsable du chiffrement du HSM managéManaged HSM Crypto Officer | Octroie un accès complet à toutes les opérations de gestion et de chiffrement des clés.Grants full access to all key management and key cryptographic operations | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Utilisateur du chiffrement du HSM managéManaged HSM Crypto User | Accorde l’accès à la création et à l’utilisation de clés pour les opérations de chiffrement.Grants access to create and use keys for cryptographic operations. Il ne peut pas supprimer définitivement des clés.Cannot permanently delete keys. | 21dbd100-6940-42c2-9190-5d6cb909625b21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrateur des stratégies du HSM managéManaged HSM Policy Administrator | Accorde l’autorisation de créer et de supprimer des attributions de rôles.Grants permission to create and delete role assignments | 4bd23610-cdcf-4971-bdee-bdc562cc28e44bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditeur du chiffrement du HSM managéManaged HSM Crypto Auditor | Accorde une autorisation de lecture pour lire (mais pas pour utiliser) les clésGrants read permission to read (but not use) keys | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b32c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Chiffrement du service du HSM managéManaged HSM Crypto Service Encryption | Accorde l’autorisation d’utiliser une clé pour le chiffrement du service.Grants permission to use a key for service encryption. | 33413926-3206-4cdd-b39a-83574fe37a1733413926-3206-4cdd-b39a-83574fe37a17 |
| Sauvegarde du HSM managéManaged HSM Backup | Accorde l’autorisation d’exécuter la sauvegarde d’une seule clé ou de l’intégralité du HSM.Grants permission to perform single key or whole HSM backup. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f87b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
Opérations autoriséesPermitted operations
Nota
- Un « X » indique qu’un rôle est autorisé à exécuter l’action de données.An 'X' indicates that a role is allowed to perform the data action. Une cellule vide indique que le rôle n’est pas autorisé à exécuter cette action de données.Empty cell indicates the role does not have pemission to perform that data action.
- Tous les noms d’action de données ont le préfixe « Microsoft.KeyVault/managedHsm », qui a été omis dans les tableaux ci-dessous par souci de concision.All the data action names have a 'Microsoft.KeyVault/managedHsm' prefix, which is omitted in the tables below for brevity.
- Tous les noms de rôles ont le préfixe « Managed HSM », qui a été omis dans le tableau ci-dessous par souci de concision.All role names have a prefix "Managed HSM" which is omitted in the below table for brevity.
| Action de donnéesData Action | AdministrateurAdministrator | Crypto OfficerCrypto Officer | Utilisateur du chiffrementCrypto User | Administrateur de la stratégiePolicy Administrator | Chiffrement du serviceCrypto Service Encryption | BackupBackup | Auditeur du chiffrementCrypto Auditor |
|---|---|---|---|---|---|---|---|
| Gestion du domaine de sécuritéSecurity Domain management | |||||||
| /securitydomain/download/action/securitydomain/download/action | |||||||
| /securitydomain/upload/action/securitydomain/upload/action | |||||||
| /securitydomain/upload/read/securitydomain/upload/read | |||||||
| /securitydomain/transferkey/read/securitydomain/transferkey/read | |||||||
| Gestion des clésKey management | |||||||
| /keys/read/action/keys/read/action | |||||||
| /keys/write/action/keys/write/action | |||||||
| /keys/create/keys/create | |||||||
| /keys/delete/keys/delete | |||||||
| /keys/deletedKeys/read/action/keys/deletedKeys/read/action | |||||||
| /keys/deletedKeys/recover/action/keys/deletedKeys/recover/action | |||||||
| /keys/deletedKeys/delete/keys/deletedKeys/delete | |||||||
| /keys/backup/action/keys/backup/action | |||||||
| /keys/restore/action/keys/restore/action | |||||||
| /keys/export/action/keys/export/action | |||||||
| /keys/import/action/keys/import/action | |||||||
| Opérations de chiffrement de clésKey cryptographic operations | |||||||
| /keys/encrypt/action/keys/encrypt/action | |||||||
| /keys/decrypt/action/keys/decrypt/action | |||||||
| /keys/wrap/action/keys/wrap/action | |||||||
| /keys/unwrap/action/keys/unwrap/action | |||||||
| /keys/sign/action/keys/sign/action | |||||||
| /keys/verify/action/keys/verify/action | |||||||
| Gestion des rôlesRole management | |||||||
| /roleAssignments/delete/action/roleAssignments/delete/action | |||||||
| /roleAssignments/read/action/roleAssignments/read/action | |||||||
| /roleAssignments/write/action/roleAssignments/write/action | |||||||
| /roleDefinitions/read/action/roleDefinitions/read/action | |||||||
| Gestion des sauvegardes/restaurationsBackup/Restore management | |||||||
| /backup/start/action/backup/start/action | |||||||
| /backup/status/action/backup/status/action | |||||||
| /restore/start/action/restore/start/action | |||||||
| /restore/status/action/restore/status/action | |||||||
Étapes suivantesNext steps
- Lisez la présentation du Contrôle d’accès en fonction du rôle (Azure RBAC).See an overview of Azure role-based access control (Azure RBAC).
- Suivez un tutoriel sur la Gestion des rôles dans Managed HSM.See a tutorial on Managed HSM role management