Gestion du rôle HSM managéManaged HSM role management

Nota

Key Vault prend en charge deux types de ressources : les coffres et les HSM managés.Key Vault supports two types of resource: vaults and managed HSMs. Cet article concerne le HSM managé.This article is about Managed HSM. Si vous souhaitez apprendre à gérer un coffre, consultez Gérer Key Vault à l’aide de l’interface de ligne de commande Azure.If you want to learn how to manage a vault, please see Manage Key Vault using the Azure CLI.

Pour obtenir une vue d’ensemble de Managed HSM, consultez Qu’est-ce que Managed HSM ?.For an overview of Managed HSM, see What is Managed HSM?. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.If you don't have an Azure subscription, create a free account before you begin.

Cet article vous explique comment gérer les rôles pour un plan de données HSM managé.This article show you how to manage roles for a Managed HSM data plane. Pour en savoir plus sur le modèle de contrôle d’accès HSM managé, consultez Contrôle d’accès HSM managé.To learn about Managed HSM access control model, see Managed HSM access control.

Pour permettre à un principal de sécurité (par exemple un utilisateur, un principal du service, un groupe ou une identité managée) d’effectuer des opérations de plan de données HSM managé, il doit se voir attribuer un rôle qui autorise l’exécution de ces opérations.To allow a security principal (such as a user, a service principal, group or a managed identity) to perform managed HSM data plane operations, they must be assigned a role that permits performing those operations. Par exemple, si vous souhaitez permettre à une application d’effectuer une opération de signature à l’aide d’une clé, elle doit recevoir un rôle contenant« Microsoft.KeyVault/managedHSM/keys/sign/action » comme l’une des actions de données.For example, if you want to allow an application to perform a sign operation using a key, it must be assigned a role that contains the "Microsoft.KeyVault/managedHSM/keys/sign/action" as one of the data actions. Un rôle peut être attribué au niveau d’une étendue spécifique.A role can be assigned at a specific scope. Le RBAC local HSM managé prend en charge deux étendues, à l’échelle du HSM (/ ou /keys) et par clé (/keys/<keyname>).Managed HSM local RBAC supports two scopes, HSM-wide (/ or /keys) and per key (/keys/<keyname>).

Pour obtenir la liste de tous les rôles intégrés au HSM managé et les opérations qu’ils autorisent, consultez Rôles intégrés au HSM managé.For a list of all Managed HSM built-in roles and the operations they permit, see Managed HSM built-in roles.

PrérequisPrerequisites

Pour utiliser les commandes Azure CLI de cet article, vous devez disposer des éléments suivants :To use the Azure CLI commands in this article, you must have the following items:

Utiliser Azure Cloud ShellUse Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your browser. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure.You can use either Bash or PowerShell with Cloud Shell to work with Azure services. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.You can use the Cloud Shell preinstalled commands to run the code in this article without having to install anything on your local environment.

Pour démarrer Azure Cloud Shell :To start Azure Cloud Shell:

OptionOption Exemple/LienExample/Link
Sélectionnez Essayer dans le coin supérieur droit d’un bloc de code.Select Try It in the upper-right corner of a code block. La sélection de Essayer ne copie pas automatiquement le code dans Cloud Shell.Selecting Try It doesn't automatically copy the code to Cloud Shell. Exemple Essayer pour Azure Cloud Shell
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur.Go to https://shell.azure.com, or select the Launch Cloud Shell button to open Cloud Shell in your browser. Lancer Cloud Shell dans une nouvelle fenêtreLaunch Cloud Shell in a new window
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure.Select the Cloud Shell button on the menu bar at the upper right in the Azure portal. Bouton Cloud Shell du portail Azure

Pour exécuter le code de cet article dans Azure Cloud Shell :To run the code in this article in Azure Cloud Shell:

  1. Démarrez Cloud Shell.Start Cloud Shell.

  2. Sélectionnez le bouton Copier dans un bloc de code pour copier le code.Select the Copy button on a code block to copy the code.

  3. Collez le code dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux, ou en sélectionnant Cmd+Maj+V sur macOS.Paste the code into the Cloud Shell session by selecting Ctrl+Shift+V on Windows and Linux or by selecting Cmd+Shift+V on macOS.

  4. Sélectionnez Entrée pour exécuter le code.Select Enter to run the code.

Connexion à AzureSign in to Azure

Pour vous connecter à Azure à l’aide de l’interface CLI, vous pouvez taper la commande suivante :To sign in to Azure using the CLI you can type:

az login

Pour plus d’informations sur les options de connexion via l’interface CLI, consultez Se connecter avec Azure CLIFor more information on login options via the CLI, see sign in with Azure CLI

Créer une attribution de rôleCreate a new role assignment

Attribuer des rôles pour toutes les clésAssign roles for all keys

Utilisez la commande az keyvault role assignment create pour attribuer un rôle Responsable du chiffrement du HSM managé à l’utilisateur identifié par le nom d’utilisateur principal user2@contoso.com pour toutes les clés (étendue/keys) dans ContosoHSM.Use az keyvault role assignment create command to assign a Managed HSM Crypto Officer role to user identified by user principal name user2@contoso.com for all keys (scope /keys) in the ContosoHSM.

az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto Officer" --assignee user2@contoso.com  --scope /keys

Affecter un rôle pour une clé spécifiqueAssign role for a specific key

Utilisez la commande az keyvault role assignment create pour attribuer un rôle Responsable du chiffrement du HSM managé à l’utilisateur identifié par le nom d’utilisateur principal user2@contoso.com pour une clé spécifique nommée myrsakey.Use az keyvault role assignment create command to assign a Managed HSM Crypto Officer role to user identified by user principal name user2@contoso.com for a specific key named myrsakey.

az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto Officer" --assignee user2@contoso.com  --scope /keys/myrsakey

Lister les attributions de rôles existantesList existing role assignments

Utilisez az keyvault role assignment list pour lister les attributions de rôles.Use az keyvault role assignment list to list role assignments.

Toutes les attributions de rôles au niveau de l’étendue / (valeur par défaut si aucune étendue n’est spécifiée) pour tous les utilisateurs (valeur par défaut quand aucun destinataire n’est spécifié)All role assignments at scope / (default when no --scope is specified) for all users (default when no --assignee is specified)

az keyvault role assignment list --hsm-name ContosoMHSM

Toutes les attributions de rôles au niveau du HSM pour un utilisateur spécifique user1@contoso.com .All the role assignments at the HSM level for a specific user user1@contoso.com.

az keyvault role assignment list --hsm-name ContosoMHSM --assignee user@contoso.com

Toutes les attributions de rôles pour un utilisateur spécifique user2@contoso.com et une clé spécifique myrsakey.All role assignments for a specific user user2@contoso.com for a specific key myrsakey.

az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey

Une attribution de rôle spécifique pour le rôle Responsable du chiffrement du HSM managé pour un utilisateur spécifique user2@contoso.com et une clé spécifique myrsakeyA specific role assignment for role Managed HSM Crypto Officer for a specific user user2@contoso.com for a specific key myrsakey

az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey --role "Managed HSM Crypto Officer"

Supprimer une attribution de rôleDelete a role assignment

Utilisez la commande az keyvault role assignment delete pour supprimer un rôle Responsable du chiffrement du HSM managé attribué à l’utilisateur user2@contoso.com pour la clé myrsakey2.Use az keyvault role assignment delete command to delete a Managed HSM Crypto Officer role assigned to user user2@contoso.com for key myrsakey2.

az keyvault role assignment delete --hsm-name ContosoMHSM --role "Managed HSM Crypto Officer" --assignee user2@contoso.com  --scope /keys/myrsakey2

Lister toutes les définitions de rôles disponiblesList all available role definitions

Utilisez la commande az keyvault role definition list pour lister toutes les définitions de rôles.Use az keyvault role definition list command to list all the role definitions.

az keyvault role definition list --hsm-name ContosoMHSM

Étapes suivantesNext steps