Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le contrôle d’accès en fonction du rôle local (RBAC) azure Managed HSM a plusieurs rôles intégrés. Vous pouvez attribuer ces rôles aux utilisateurs, aux principaux de service, aux groupes et aux identités managées. Cet article fournit une référence pour ces rôles et les opérations qu’ils autorisent.
Pour permettre à un principal d’effectuer une opération, vous devez leur attribuer un rôle qui leur accorde des autorisations pour effectuer ces opérations. Tous ces rôles et opérations vous permettent de gérer les autorisations uniquement pour les opérations de plan de données . Pour les opérations de plan de contrôle , consultez les rôles intégrés Azure et le contrôle d’accès pour managed HSM : Plan de contrôle et RBAC Azure.
Pour gérer les autorisations du plan de contrôle pour la ressource HSM managée, vous devez utiliser contrôle d’accès en fonction du rôle Azure (Azure RBAC). Certains exemples d’opérations de plan de contrôle sont de créer un HSM managé ou de mettre à jour, déplacer ou supprimer un HSM managé.
Rôles intégrés
Pour permettre à un principal d’effectuer une opération, vous devez leur attribuer un rôle qui leur accorde des autorisations pour effectuer ces opérations.
Le tableau suivant répertorie les rôles intégrés pour le RBAC local du HSM managé. Chaque rôle a un ID unique qui peut être utilisé pour attribuer le rôle.
| Nom du rôle | Description | identifiant |
|---|---|---|
| Administrateur du HSM managé | Accorde des autorisations pour effectuer toutes les opérations liées au domaine de sécurité, à la sauvegarde complète et à la restauration, ainsi qu’à la gestion des rôles. Non autorisé à effectuer des opérations de gestion de clés. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Agent de chiffrement HSM managé | Octroie des autorisations pour effectuer toutes les clés supprimées, vider ou récupérer des clés supprimées et exporter des clés. Non autorisé à effectuer d’autres opérations de gestion de clés. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Utilisateur du chiffrement du HSM managé | Octroie des autorisations pour effectuer toutes les opérations de gestion des clés, à l’exception du vidage ou de la récupération des clés supprimées et des clés d’exportation. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrateur de stratégie HSM managé | Octroie des autorisations pour créer et supprimer des attributions de rôles. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditeur du chiffrement du HSM managé | Octroie des autorisations de lecture pour lire (mais pas utiliser) les attributs de clé. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Utilisateur de chiffrement de service de chiffrement HSM managé | Octroie des autorisations d’utilisation d’une clé pour le chiffrement de service. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Utilisateur de publication du service de chiffrement HSM managé | Octroie des autorisations pour libérer une clé dans un environnement d’exécution approuvé. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Sauvegarde du HSM managé | Octroie des autorisations pour effectuer une sauvegarde à clé unique ou à HSM entière. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauration HSM managée | Octroie des autorisations pour effectuer une restauration à clé unique ou À HSM entière. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Opérations autorisées
Remarque
- Dans le tableau suivant, un X indique qu’un rôle est autorisé à effectuer l’action de données. Une cellule vide indique que le rôle n’a pas l’autorisation d’effectuer cette action de données.
- Tous les noms d’actions de données ont le préfixe Microsoft.KeyVault/managedHsm, qui est omis dans la table pour la concision.
- Tous les noms de rôles ont le préfixe HSM managé, qui est omis dans le tableau suivant pour la concision.
| Action de données | Administrateur | Agent de chiffrement | Utilisateur de chiffrement | Administrateur de stratégie | Utilisateur de chiffrement de service de chiffrement | Sauvegarde | Vérificateur de chiffrement | Utilisateur de publication de service de chiffrement | Restaurer |
|---|---|---|---|---|---|---|---|---|---|
| de gestion des domaines de sécurité | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Gestion des clés | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| opérations de chiffrement de clé | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| de gestion des rôles | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| de gestion des sauvegardes et des restaurations | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/action | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Étapes suivantes
- Consultez une vue d’ensemble de Azure RBAC .
- Consultez un tutoriel sur gestion des rôles HSM managé.