Peran bawaan RBAC lokal untuk HSM Terkelola
Kontrol akses berbasis peran lokal (RBAC) Azure Key Vault Managed HSM memiliki beberapa peran bawaan. Anda dapat menetapkan peran ini kepada pengguna, perwakilan layanan, grup, dan identitas terkelola.
Untuk mengizinkan prinsipal melakukan operasi, Anda harus menetapkan peran yang memberi mereka izin untuk melakukan operasi tersebut. Semua peran dan operasi ini memungkinkan Anda mengelola izin hanya untuk operasi sarana data. Untuk operasi sarana manajemen, lihat Peran bawaan Azure dan Akses aman ke HSM terkelola Anda.
Untuk mengelola izin sarana kontrol untuk sumber daya HSM terkelola, Anda harus menggunakan kontrol akses berbasis peran Azure (Azure RBAC). Beberapa contoh operasi sarana kontrol adalah membuat HSM terkelola baru, atau untuk memperbarui, memindahkan, atau menghapus HSM terkelola.
Peran bawaan
| Nama peran | Deskripsi | ID |
|---|---|---|
| Administrator Managed HSM | Memberikan izin untuk melakukan semua operasi yang terkait dengan domain keamanan, pencadangan dan pemulihan penuh, dan manajemen peran. Tidak diizinkan untuk melakukan operasi manajemen kunci. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Petugas Kripto HSM Terkelola | Memberikan izin untuk melakukan semua manajemen peran, membersihkan atau memulihkan kunci yang dihapus, dan mengekspor kunci. Tidak diizinkan untuk melakukan operasi manajemen kunci lainnya. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Pengguna Kripto HSM Terkelola | Memberikan izin untuk melakukan semua operasi manajemen kunci kecuali menghapus menyeluruh atau memulihkan kunci yang dihapus dan mengekspor kunci. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrator Kebijakan HSM Terkelola | Memberikan izin untuk membuat dan menghapus penetapan peran. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditor Kripto HSM Terkelola | Memberikan izin baca untuk membaca (tetapi tidak menggunakan) atribut kunci. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Pengguna Enkripsi Layanan Kripto HSM Terkelola | Memberikan izin untuk menggunakan kunci untuk enkripsi layanan. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Pengguna Rilis Layanan Kripto HSM Terkelola | Memberikan izin untuk merilis kunci ke lingkungan eksekusi tepercaya. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Pencadangan HSM Terkelola | Memberikan izin untuk melakukan pencadangan kunci tunggal atau seluruh HSM. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Pemulihan HSM Terkelola | Memberikan izin untuk melakukan pemulihan kunci tunggal atau seluruh HSM. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operasi yang diizinkan
Catatan
- Dalam tabel berikut, X menunjukkan bahwa peran diizinkan untuk melakukan tindakan data. Sel kosong menunjukkan bahwa peran tidak memiliki pemission untuk melakukan tindakan data tersebut.
- Semua nama tindakan data memiliki awalan Microsoft.KeyVault/managedHsm, yang dihilangkan dalam tabel untuk brevity.
- Semua nama peran memiliki awalan Managed HSM, yang dihilangkan dalam tabel berikut untuk brevity.
| Tindakan data | Administrator | Petugas Kripto | Pengguna Kripto | Administrator Kebijakan | Pengguna Enkripsi Layanan Kripto | Cadangan | Auditor Kripto | Pengguna Rilis Layanan Kripto | Pulihkan |
|---|---|---|---|---|---|---|---|---|---|
| Manajemen domain keamanan | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Manajemen kunci | |||||||||
| /keys/read/action | X | X | X | ||||||
| X | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/read/action | X | ||||||||
| X | X | ||||||||
| X | X | ||||||||
| /keys/read/action | X | ||||||||
| X | X | X | |||||||
| X | X | X | |||||||
| X | X | X | |||||||
| /keys/read/action | X | X | |||||||
| X | X | ||||||||
| X | |||||||||
| X | X | ||||||||
| X | X | ||||||||
| /keys/read/action | X | X | |||||||
| /keys/read/action | X | X | |||||||
| /keys/read/action | X | ||||||||
| X | X | ||||||||
| X | |||||||||
| X | X | X | X | X | X | ||||
| X | X | X | X | ||||||
| /keys/read/action | X | X | X | ||||||
| X | X | X | X | X | X | ||||
| X | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Manajemen pencadangan dan pemulihan | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Langkah berikutnya
- Lihat gambaran umum Azure RBAC.
- Lihat tutorial tentang manajemen peran HSM Terkelola.