Rôles RBAC locaux intégrés au HSM managéManaged HSM local RBAC built-in roles

Il existe plusieurs rôles RBAC locaux intégrés au HSM managé que vous pouvez attribuer aux utilisateurs, aux principaux de service, aux groupes et aux identités managées.Managed HSM local RBAC has several built-in roles that you can assign to users, service principals, groups, and managed identities. Pour permettre à un principal d’effectuer une opération, vous devez lui attribuer un rôle qui lui accorde l’autorisation d’effectuer cette opération.To allow a principal to perform an operation you must assign them a role that grants them permission to perform that operations. L’ensemble de ces rôles et de ces opérations vous permettent uniquement de gérer les autorisations pour les opérations de plan de données.All these roles and operations only allow you to manage permission for data plane operations. Si vous souhaitez gérer les autorisations de plan de contrôle pour la ressource Managed HSM (par exemple, créer un HSM managé, ou mettre à jour, déplacer ou supprimer un HSM existant), vous devez utiliser le contrôle d’accès en fonction du rôle (RBAC Azure) Azure.To manage control plane permissions for the Managed HSM resource (such as create a new managed HSM or update, move, delete an existing one), you must use Azure role-based access control (Azure RBAC).

Rôles intégrésBuilt-in roles

Nom du rôleRole Name DescriptionDescription idID
Administrateur du HSM managéManaged HSM Administrator Accorde un accès complet à toutes les actions de données.Grants full access to all data actions. a290e904-7015-4bba-90c8-60543313cdb4a290e904-7015-4bba-90c8-60543313cdb4
Responsable du chiffrement du HSM managéManaged HSM Crypto Officer Octroie un accès complet à toutes les opérations de gestion et de chiffrement des clés.Grants full access to all key management and key cryptographic operations 515eb02d-2335-4d2d-92f2-b1cbdf9c3778515eb02d-2335-4d2d-92f2-b1cbdf9c3778
Utilisateur du chiffrement du HSM managéManaged HSM Crypto User Accorde l’accès à la création et à l’utilisation de clés pour les opérations de chiffrement.Grants access to create and use keys for cryptographic operations. Il ne peut pas supprimer définitivement des clés.Cannot permanently delete keys. 21dbd100-6940-42c2-9190-5d6cb909625b21dbd100-6940-42c2-9190-5d6cb909625b
Administrateur des stratégies du HSM managéManaged HSM Policy Administrator Accorde l’autorisation de créer et de supprimer des attributions de rôles.Grants permission to create and delete role assignments 4bd23610-cdcf-4971-bdee-bdc562cc28e44bd23610-cdcf-4971-bdee-bdc562cc28e4
Auditeur du chiffrement du HSM managéManaged HSM Crypto Auditor Accorde une autorisation de lecture pour lire (mais pas pour utiliser) les clésGrants read permission to read (but not use) keys 2c18b078-7c48-4d3a-af88-5a3a1b3f82b32c18b078-7c48-4d3a-af88-5a3a1b3f82b3
Chiffrement du service du HSM managéManaged HSM Crypto Service Encryption Accorde l’autorisation d’utiliser une clé pour le chiffrement du service.Grants permission to use a key for service encryption. 33413926-3206-4cdd-b39a-83574fe37a1733413926-3206-4cdd-b39a-83574fe37a17
Sauvegarde du HSM managéManaged HSM Backup Accorde l’autorisation d’exécuter la sauvegarde d’une seule clé ou de l’intégralité du HSM.Grants permission to perform single key or whole HSM backup. 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f87b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8

Opérations autoriséesPermitted operations

Nota

  • Un « X » indique qu’un rôle est autorisé à exécuter l’action de données.An 'X' indicates that a role is allowed to perform the data action. Une cellule vide indique que le rôle n’est pas autorisé à exécuter cette action de données.Empty cell indicates the role does not have pemission to perform that data action.
  • Tous les noms d’action de données ont le préfixe « Microsoft.KeyVault/managedHsm », qui a été omis dans les tableaux ci-dessous par souci de concision.All the data action names have a 'Microsoft.KeyVault/managedHsm' prefix, which is omitted in the tables below for brevity.
  • Tous les noms de rôles ont le préfixe « Managed HSM », qui a été omis dans le tableau ci-dessous par souci de concision.All role names have a prefix "Managed HSM" which is omitted in the below table for brevity.
Action de donnéesData Action AdministrateurAdministrator Crypto OfficerCrypto Officer Utilisateur du chiffrementCrypto User Administrateur de la stratégiePolicy Administrator Chiffrement du serviceCrypto Service Encryption BackupBackup Auditeur du chiffrementCrypto Auditor
Gestion du domaine de sécuritéSecurity Domain management
/securitydomain/download/action/securitydomain/download/action
X
X
/securitydomain/upload/action/securitydomain/upload/action
X
X
/securitydomain/upload/read/securitydomain/upload/read
X
X
/securitydomain/transferkey/read/securitydomain/transferkey/read
X
X
Gestion des clésKey management
/keys/read/action/keys/read/action
X
X
X
X
X
X
X
X
X
X
/keys/write/action/keys/write/action
X
X
X
X
X
X
/keys/create/keys/create
X
X
X
X
X
X
/keys/delete/keys/delete
X
X
X
X
/keys/deletedKeys/read/action/keys/deletedKeys/read/action
X
X
X
X
/keys/deletedKeys/recover/action/keys/deletedKeys/recover/action
X
X
X
X
/keys/deletedKeys/delete/keys/deletedKeys/delete
X
X
X
X
X
X
/keys/backup/action/keys/backup/action
X
X
X
X
X
X
X
X
/keys/restore/action/keys/restore/action
X
X
X
X
/keys/export/action/keys/export/action
X
X
X
X
/keys/import/action/keys/import/action
X
X
X
X
Opérations de chiffrement de clésKey cryptographic operations
/keys/encrypt/action/keys/encrypt/action
X
X
X
X
X
X
/keys/decrypt/action/keys/decrypt/action
X
X
X
X
X
X
/keys/wrap/action/keys/wrap/action
X
X
X
X
X
X
X
X
/keys/unwrap/action/keys/unwrap/action
X
X
X
X
X
X
X
X
/keys/sign/action/keys/sign/action
X
X
X
X
X
X
/keys/verify/action/keys/verify/action
X
X
X
X
X
X
Gestion des rôlesRole management
/roleAssignments/delete/action/roleAssignments/delete/action
X
X
X
X
/roleAssignments/read/action/roleAssignments/read/action
X
X
X
X
/roleAssignments/write/action/roleAssignments/write/action
X
X
X
X
/roleDefinitions/read/action/roleDefinitions/read/action
X
X
X
X
Gestion des sauvegardes/restaurationsBackup/Restore management
/backup/start/action/backup/start/action
X
X
X
X
/backup/status/action/backup/status/action
X
X
X
X
/restore/start/action/restore/start/action
X
X
/restore/status/action/restore/status/action
X
X

Étapes suivantesNext steps