Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O controle de acesso baseado em função local (RBAC) do Azure Managed HSM tem várias funções internas. Você pode atribuir essas funções a usuários, entidades de serviço, grupos e identidades gerenciadas. Este artigo fornece uma referência para essas funções e as operações que elas permitem.
Para permitir que uma entidade de segurança execute uma operação, você deve atribuir-lhe uma função que lhes conceda permissões para executar essas operações. Todas essas funções e operações permitem que você gerencie permissões apenas para plano de dados operações. Para operações de plano de controle , consulte Funções internas do Azure e Controle de acesso para HSM gerenciado: plano de controle e RBAC do Azure.
Para gerenciar permissões de plano de controle para o recurso HSM gerenciado, você deve usar controle de acesso baseado em função do Azure (Azure RBAC). Alguns exemplos de operações de plano de controle são criar um novo HSM gerenciado ou atualizar, mover ou excluir um HSM gerenciado.
Funções incorporadas
Para permitir que uma entidade de segurança execute uma operação, você deve atribuir-lhe uma função que lhes conceda permissões para executar essas operações.
A tabela a seguir lista as funções internas para o RBAC local do HSM gerenciado. Cada função tem um ID exclusivo que pode ser usado para atribuir a função.
| Nome da função | Descrição | ID |
|---|---|---|
| Administrador do HSM Gerido | Concede permissões para executar todas as operações relacionadas ao domínio de segurança, backup e restauração completos e gerenciamento de funções. Não é permitido realizar quaisquer operações de gerenciamento de chaves. | a290e904-7015-4bba-90c8-60543313cdb4 |
| Diretor de criptografia HSM gerenciado | Concede permissões para executar todo o gerenciamento de funções, limpar ou recuperar chaves excluídas e exportar chaves. Não é permitido executar quaisquer outras operações de gerenciamento de chaves. | 515EB02D-2335-4D2D-92F2-B1CBDF9C3778 |
| Usuário de criptografia HSM gerenciado | Concede permissões para executar todas as operações de gerenciamento de chaves, exceto limpar ou recuperar chaves excluídas e exportar chaves. | 21dbd100-6940-42c2-9190-5d6cb909625b |
| Administrador de políticas de HSM gerenciado | Concede permissões para criar e excluir atribuições de função. | 4bd23610-cdcf-4971-bdee-bdc562cc28e4 |
| Auditor de criptografia HSM gerenciado | Concede permissões de leitura para ler (mas não usar) atributos de chave. | 2C18B078-7C48-4D3A-AF88-5A3A1B3F82B3 |
| Usuário gerenciado de criptografia do HSM Crypto Service | Concede permissões para usar uma chave para criptografia de serviço. | 33413926-3206-4CDD-B39A-83574FE37A17 |
| Usuário gerenciado do HSM Crypto Service Release | Concede permissões para liberar uma chave para um ambiente de execução confiável. | 21dbd100-6940-42c2-9190-5d6cb909625c |
| Cópia de Segurança do HSM Gerido | Concede permissões para executar backup de chave única ou HSM inteiro. | 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8 |
| Restauração gerenciada do HSM | Concede permissões para executar a restauração de chave única ou HSM inteiro. | 6EFE6056-5259-49D2-8B3D-D3D73544B20B |
Operações autorizadas
Observação
- Na tabela a seguir, um X indica que uma função tem permissão para executar a ação de dados. Uma célula vazia indica que a função não tem permissão para executar essa ação de dados.
- Todos os nomes de ação de dados têm o prefixo Microsoft.KeyVault/managedHsm, que é omitido na tabela para brevidade.
- Todos os nomes de função têm o prefixo Managed HSM, que é omitido na tabela a seguir para maior brevidade.
| Ação de dados | Administradores | Oficial de Criptografia | Usuário de criptografia | Administrador de políticas | Usuário de criptografia do serviço de criptografia | Backup | Auditor de criptografia | Usuário do Crypto Service Release | Restaurar |
|---|---|---|---|---|---|---|---|---|---|
| de gerenciamento de domínio de segurança | |||||||||
| /securitydomain/download/ação | X | ||||||||
| /securitydomain/upload/ação | X | ||||||||
| /securitydomain/upload/ler | X | ||||||||
| /securitydomain/transferkey/leitura | X | ||||||||
| Gestão de chaves | |||||||||
| /chaves/leitura/ação | X | X | X | ||||||
| /chaves/gravação/ação | X | ||||||||
| /chaves/girar/ação | X | ||||||||
| /chaves/criar | X | ||||||||
| /chaves/excluir | X | ||||||||
| /keys/deletedKeys/read/action | X | ||||||||
| /keys/deletedKeys/recover/action | X | ||||||||
| /keys/deletedKeys/delete | X | X | |||||||
| /chaves/backup/ação | X | X | |||||||
| /chaves/restauração/ação | X | X | |||||||
| /chaves/lançamento/ação | X | X | |||||||
| /chaves/importação/ação | X | ||||||||
| Operações criptográficas de chave | |||||||||
| /chaves/encriptação/ação | X | ||||||||
| /chaves/desencriptação/ação | X | ||||||||
| /chaves/wrap/action | X | X | |||||||
| /chaves/desembrulhar/ação | X | X | |||||||
| /chaves/sinal/ação | X | ||||||||
| /chaves/verificar/ação | X | ||||||||
| Gestão de funções | |||||||||
| /roleAtribuições/leitura/ação | X | X | X | X | X | ||||
| /roleAtribuições/gravação/ação | X | X | X | ||||||
| /roleAtribuições/excluir/ação | X | X | X | ||||||
| /roleDefinições/leitura/ação | X | X | X | X | X | ||||
| /roleDefinições/gravação/ação | X | X | X | ||||||
| /roleDefinições/excluir/ação | X | X | X | ||||||
| Gerenciamento de backup e restauração | |||||||||
| /backup/início/ação | X | X | |||||||
| /backup/status/ação | X | X | |||||||
| /restaurar/iniciar/ação | X | X | |||||||
| /restaurar/status/ação | X | X |
Próximos passos
- Veja uma visão geral do Azure RBAC.
- Consulte um tutorial sobre gerenciamento de funções do HSM gerenciado.