Yönetilen HSM için yerel RBAC yerleşik rolleri
Azure Key Vault Yönetilen HSM yerel rol tabanlı erişim denetiminin (RBAC) birkaç yerleşik rolü vardır. Bu rolleri kullanıcılara, hizmet sorumlularına, gruplara ve yönetilen kimliklere atayabilirsiniz.
Bir sorumluya işlem gerçekleştirme izni vermek için, onlara bu işlemleri gerçekleştirme izinleri veren bir rol atamanız gerekir. Tüm bu roller ve işlemler yalnızca veri düzlemi işlemleri için izinleri yönetmenize olanak tanır. Yönetim düzlemi işlemleri için bkz. Azure yerleşik rolleri ve Yönetilen HSM'lerinize güvenli erişim.
Yönetilen HSM kaynağının denetim düzlemi izinlerini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanmanız gerekir. Denetim düzlemi işlemlerinin bazı örnekleri, yeni bir yönetilen HSM oluşturmak veya yönetilen bir HSM'yi güncelleştirmek, taşımak veya silmektir.
Yerleşik roller
| Rol adı | Açıklama | Kimlik |
|---|---|---|
| Yönetilen HSM Yöneticisi | Güvenlik etki alanı, tam yedekleme ve geri yükleme ve rol yönetimiyle ilgili tüm işlemleri gerçekleştirmek için izinler verir. Herhangi bir anahtar yönetimi işlemi gerçekleştirmesine izin verilmiyor. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Yönetilen HSM Şifreleme Yetkilisi | Tüm rol yönetimini gerçekleştirme, silinen anahtarları temizleme veya kurtarma ve anahtarları dışarı aktarma izinleri verir. Başka bir anahtar yönetimi işlemi gerçekleştirmesine izin verilmez. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Yönetilen HSM Şifreleme Kullanıcısı | Silinen anahtarları temizleme veya kurtarma ve anahtarları dışarı aktarma dışında tüm anahtar yönetimi işlemlerini gerçekleştirmek için izinler verir. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Yönetilen HSM İlkesi Yönetici istrator | Rol atamaları oluşturma ve silme izinleri verir. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Yönetilen HSM Şifreleme Denetçisi | Anahtar özniteliklerini okumak (ancak kullanmamak) için okuma izinleri verir. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Yönetilen HSM Şifreleme Hizmeti Şifreleme Kullanıcısı | Hizmet şifrelemesi için anahtar kullanma izinleri verir. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Yönetilen HSM Şifreleme Hizmeti Yayın Kullanıcısı | Anahtarı güvenilen bir yürütme ortamına serbest bırakmak için izinler verir. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Yönetilen HSM Yedeklemesi | Tek anahtarlı veya tam HSM yedeklemesi gerçekleştirmek için izinler verir. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Yönetilen HSM Geri Yükleme | Tek anahtarlı veya tam HSM geri yükleme gerçekleştirmek için izinler verir. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
İzin verilen işlemler
Not
- Aşağıdaki tabloda X, bir rolün veri eylemini gerçekleştirmesine izin verildiğini gösterir. Boş bir hücre, rolün bu veri eylemini gerçekleştirmek için yetkileri olmadığını gösterir.
- Tüm veri eylemi adları, tabloda kısa süre için atlanan Microsoft.KeyVault/managedHsm ön ekini alır.
- Tüm rol adları Yönetilen HSM ön ekini içerir ve bu ön ek kısalık için aşağıdaki tabloda atlanır.
| Veri eylemi | Yönetici | Şifreleme Sorumlusu | Şifreleme Kullanıcısı | İlke Yönetici istrator | Şifreleme Hizmeti Şifreleme Kullanıcısı | Yedekleme | Kripto Denetçisi | Şifreleme Hizmeti Yayın Kullanıcısı | Geri Yükleme |
|---|---|---|---|---|---|---|---|---|---|
| Güvenlik etki alanı yönetimi | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Anahtar yönetimi | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| Anahtar şifreleme işlemleri | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| Rol yönetimi | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| Yedekleme ve geri yükleme yönetimi | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Sonraki adımlar
- Bkz. Azure RBAC'ye genel bakış.
- Yönetilen HSM rol yönetimi ile ilgili bir öğreticiye bakın.