Ruoli predefiniti controllo degli accessi in base al ruolo locale per il modulo di protezione hardware gestito
Il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito di Azure Key Vault dispone di diversi ruoli predefiniti. È possibile assegnare questi ruoli a utenti, entità servizio, gruppi e identità gestite.
Per consentire a un'entità di eseguire un'operazione, è necessario assegnare loro un ruolo che concede loro le autorizzazioni per eseguire tali operazioni. Tutti questi ruoli e operazioni consentono di gestire le autorizzazioni solo per le operazioni del piano dati. Per le operazioni del piano di gestione, vedere Ruoli predefiniti di Azure e Proteggere l'accesso ai moduli di protezione hardware gestiti.
Per gestire le autorizzazioni del piano di controllo per la risorsa del modulo di protezione hardware gestito, è necessario usare il controllo degli accessi in base al ruolo di Azure. Alcuni esempi di operazioni del piano di controllo riguardano la creazione di un nuovo modulo di protezione hardware gestito o l'aggiornamento, lo spostamento o l'eliminazione di un modulo di protezione hardware gestito.
Ruoli predefiniti
| Nome ruolo | Descrizione | ID |
|---|---|---|
| Managed HSM Administrator | Concede le autorizzazioni per eseguire tutte le operazioni correlate al dominio di sicurezza, al backup completo e al ripristino e alla gestione dei ruoli. Non è consentito eseguire alcuna operazione di gestione delle chiavi. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Managed HSM Crypto Officer | Concede le autorizzazioni per eseguire tutte le operazioni di gestione dei ruoli, eliminazione o ripristino delle chiavi eliminate ed esportazione delle chiavi. Non è consentito eseguire altre operazioni di gestione delle chiavi. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Managed HSM Crypto User | Concede le autorizzazioni per eseguire tutte le operazioni di gestione delle chiavi, ad eccezione dell'eliminazione o del ripristino delle chiavi eliminate e delle chiavi di esportazione. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Managed HSM Policy Administrator | Concede le autorizzazioni per creare ed eliminare assegnazioni di ruolo. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Managed HSM Crypto Auditor | Concede le autorizzazioni di lettura per gli attributi chiave di lettura (ma non per l'uso). | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Utente di crittografia del servizio di crittografia del modulo di protezione hardware gestito | Concede le autorizzazioni per l'uso di una chiave per la crittografia del servizio. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Utente del rilascio del servizio di crittografia del modulo di protezione hardware gestito | Concede le autorizzazioni per rilasciare una chiave a un ambiente di esecuzione attendibile. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Managed HSM Backup | Concede le autorizzazioni per eseguire un backup con chiave singola o intero modulo di protezione hardware. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Ripristino del modulo di protezione hardware gestito | Concede le autorizzazioni per eseguire il ripristino con chiave singola o intero modulo di protezione hardware. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operazioni consentite
Nota
- Nella tabella seguente, una X indica che un ruolo è autorizzato a eseguire l'azione dei dati. Una cella vuota indica che il ruolo non dispone di autorizzazioni per eseguire l'azione dei dati.
- Tutti i nomi delle azioni dati hanno il prefisso Microsoft.KeyVault/managedHsm, che viene omesso nella tabella per brevità.
- Tutti i nomi dei ruoli hanno il prefisso Managed HSM, che viene omesso nella tabella seguente per brevità.
| Azione dati | Amministratore | Crypto Officer | Crypto User | Policy Administrator | Utente di crittografia del servizio di crittografia di crittografia | Backup | Crypto Auditor | Utente della versione di Crypto Service | Ripristino |
|---|---|---|---|---|---|---|---|---|---|
| Gestione del dominio di sicurezza | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Gestione delle chiavi | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Operazioni di crittografia delle chiavi | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Gestione dei ruoli | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Gestione dei backup e del ripristino | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Passaggi successivi
- Vedere una panoramica del controllo degli accessi in base al ruolo di Azure.
- Vedere un'esercitazione sulla gestione dei ruoli del modulo di protezione hardware gestito.