Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O RBAC (controle de acesso baseado em função) local do HSM gerenciado pelo Azure tem várias funções internas. Você pode atribuir essas funções a usuários, entidades de serviço, grupos e identidades gerenciadas. Este artigo fornece uma referência para essas funções e as operações que elas permitem.
Para permitir que uma entidade de segurança execute uma operação, você deve atribuir a elas uma função que lhes conceda permissões para executar essas operações. Todas essas funções e operações permitem que você gerencie permissões apenas para operações de do plano de dados. Para operações do plano de controle , consulte as funções internas do Azure e o controle de acesso para HSM Gerenciado: plano de controle e RBAC do Azure.
Para gerenciar permissões de plano de controle para o recurso de HSM gerenciado, você deve usar rbac do Azure (controle de acesso baseado em função) do Azure. Alguns exemplos de operações do plano de controle são criar um HSM gerenciado ou atualizar, mover ou excluir um HSM gerenciado.
Funções integradas
Para permitir que uma entidade de segurança execute uma operação, você deve atribuir a elas uma função que lhes conceda permissões para executar essas operações.
A tabela a seguir lista as funções internas do RBAC local do HSM gerenciado. Cada função tem uma ID exclusiva que pode ser usada para atribuir a função.
| Nome da função | Descrição | ID |
|---|---|---|
| Administrador de HSM Gerenciado | Concede permissões para executar todas as operações relacionadas ao domínio de segurança, backup completo e restauração e gerenciamento de função. Não é permitido executar operações de gerenciamento de chave. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Diretor de criptografia do HSM gerenciado | Concede permissões para executar todo o gerenciamento de funções, limpar ou recuperar chaves excluídas e exportar chaves. Não é permitido executar outras operações de gerenciamento de chave. | 515eb02d-2335-4d2d-92f2-b1cbdf9c3778 |
| Usuário de criptografia do HSM gerenciado | Concede permissões para executar todas as operações de gerenciamento de chaves, exceto limpar ou recuperar chaves excluídas e exportar chaves. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrador de política de HSM gerenciado | Concede permissões para criar e excluir atribuições de função. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditor de criptografia do HSM gerenciado | Concede permissões de leitura para ler (mas não usar) atributos de chave. | 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3 |
| Usuário de criptografia de serviço de criptografia de HSM gerenciado | Concede permissões para usar uma chave para criptografia de serviço. | 33413926-3206-4cdd-b39a-83574fe37a17 |
| Usuário de versão do serviço de criptografia HSM gerenciado | Concede permissões para liberar uma chave para um ambiente de execução confiável. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Backup do HSM Gerenciado | Concede permissões para executar backup de chave única ou de HSM inteiro. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauração de HSM gerenciada | Concede permissões para executar a restauração de chave única ou de HSM inteiro. | 6efe6056-5259-49d2-8b3d-d3d73544b20b |
Operações permitidas
Observação
- Na tabela a seguir, um X indica que uma função tem permissão para executar a ação de dados. Uma célula vazia indica que a função não tem permissão para executar essa ação de dados.
- Todos os nomes de ação de dados têm o prefixo Microsoft.KeyVault/managedHsm, que é omitido na tabela para fins de brevidade.
- Todos os nomes de função têm o prefixo HSM Gerenciado, que é omitido na tabela a seguir para fins de brevidade.
| Ação de dados | Administradores | Crypto Officer | Usuário de criptografia | Administrador de políticas | Usuário de Criptografia do Serviço de Criptografia | Backup | Auditor de criptografia | Usuário de versão do Serviço de Criptografia | Restaurar |
|---|---|---|---|---|---|---|---|---|---|
| de gerenciamento de domínio de segurança | |||||||||
| /securitydomain/download/action | X | ||||||||
| /securitydomain/upload/action | X | ||||||||
| /securitydomain/upload/read | X | ||||||||
| /securitydomain/transferkey/read | X | ||||||||
| Gerenciamento de chaves | |||||||||
| /keys/read/action | X | X | X | ||||||
| /keys/write/action | X | ||||||||
| /keys/rotate/action | X | ||||||||
| /keys/create | X | ||||||||
| /keys/delete | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /keys/backup/action | X | X | |||||||
| /keys/restore/action | X | X | |||||||
| /keys/release/action | X | X | |||||||
| /keys/import/action | X | ||||||||
| operações criptográficas de chave | |||||||||
| /keys/encrypt/action | X | ||||||||
| /keys/decrypt/action | X | ||||||||
| /keys/wrap/action | X | X | |||||||
| /keys/unwrap/action | X | X | |||||||
| /keys/sign/action | X | ||||||||
| /keys/verify/action | X | ||||||||
| de gerenciamento de função | |||||||||
| /roleAssignments/read/action | X | X | X | X | X | ||||
| /roleAssignments/write/action | X | X | X | ||||||
| /roleAssignments/delete/action | X | X | X | ||||||
| /roleDefinitions/read/action | X | X | X | X | X | ||||
| /roleDefinitions/write/action | X | X | X | ||||||
| /roleDefinitions/delete/action | X | X | X | ||||||
| backup e restauração | |||||||||
| /backup/start/action | X | X | |||||||
| /backup/status/ação | X | X | |||||||
| /restore/start/action | X | X | |||||||
| /restore/status/action | X | X |
Próximas etapas
- Confira uma visão geral de do RBAC do Azure.
- Consulte um tutorial sobre gerenciamento de função HSM gerenciado.