Integrierte Rollen der lokalen RBAC für verwaltetes HSM

Die lokale rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für verwaltetes Azure Key Vault-HSM beinhaltet mehrere integrierte Rollen. Diese Rollen können Benutzern, Dienstprinzipalen, Gruppen und verwalteten Identitäten zugewiesen werden.

Damit ein Prinzipal einen Vorgang ausführen kann, müssen Sie ihm eine Rolle zuweisen, die ihn zur Ausführung der entsprechenden Vorgänge berechtigt. Mit allen diesen Rollen und Vorgängen können nur Berechtigungen für Vorgänge auf der Datenebene verwaltet werden. Informationen zu Verwaltungsebene-Vorgängen finden Sie in den integrierten Azure-Rollen und dem Sicheren Zugriff auf Ihre verwalteten HSMs.

Wenn Sie Berechtigungen auf der Steuerungsebene für die verwaltete HSM-Ressource verwalten möchten müssen Sie die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwenden. Beispiele für Vorgänge auf der Steuerungsebene sind etwa das Erstellen eines neuen verwalteten HSM oder das Aktualisieren, Verschieben oder Löschen eines verwalteten HSM.

Integrierte Rollen

Rollenname BESCHREIBUNG id
Managed HSM Administrator (Administrator für verwaltete HSMs) Erteilt Berechtigungen zum Ausführen aller Vorgänge im Zusammenhang mit der Sicherheitsdomäne, der vollständigen Sicherung/Wiederherstellung und der Rollenverwaltung. Darf keine Schlüsselverwaltungsvorgänge ausführen. a290e904-7015-4bba-90c8-60543313cdb4
Managed HSM Crypto Officer (Kryptoverantwortlicher für verwaltete HSMs) Erteilt Berechtigungen zum Ausführen aller Rollenverwaltungsaufgaben, zum Löschen oder Wiederherstellen gelöschter Schlüssel und zum Exportieren von Schlüsseln. Darf keine anderen Schlüsselverwaltungsvorgänge ausführen. 515eb02d-2335-4d2d-92f2-b1cbdf9c3778
Managed HSM Crypto User (Kryptografiebenutzer für verwaltete HSMs) Erteilt Berechtigungen zum Ausführen aller Schlüsselverwaltungsvorgänge mit Ausnahme von Lösch-, Wiederherstellungs- und Exportvorgängen für Schlüssel. 21dbd100-6940-42c2-9190-5d6cb909625b
Managed HSM Policy Administrator (Richtlinienadministrator für verwaltete HSMs) Erteilt Berechtigungen zum Erstellen und Löschen von Rollenzuweisungen. 4bd23610-cdcf-4971-bdee-bdc562cc28e4
Managed HSM Crypto Auditor (Kryptografieprüfer für verwaltete HSMs) Erteilt Leseberechtigungen zum Lesen (aber nicht Verwenden) von Schlüsselattributen. 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3
Managed HSM Crypto Service Encryption User (Benutzer der Kryptografiedienstverschlüsselung für verwaltete HSMs) Erteilt Berechtigungen zum Verwenden eines Schlüssels für die Dienstverschlüsselung. 33413926-3206-4cdd-b39a-83574fe37a17
Verwalteter HSM Crypto Service Release-Benutzer Gewährt Berechtigungen zum Freigeben eines Schlüssels für eine vertrauenswürdige Ausführungsumgebung. 21dbd100-6940-42c2-9190-5d6cb909625c
Managed HSM Backup (Sicherung verwalteter HSMs) Erteilt Berechtigungen zum Ausführen einer HSM-Sicherung für einen einzelnen Schlüssel oder einer vollständigen HSM-Sicherung. 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8
Verwaltete HSM-Wiederherstellung Gewährt Berechtigungen zum Ausführen einer Einzelschlüssel- oder Ganz-HSM-Wiederherstellung. 6efe6056-5259-49d2-8b3d-d3d73544b20b

Erlaubte Vorgänge

Hinweis

  • In der folgenden Tabelle gibt ein X an, dass eine Rolle zum Ausführen der Datenaktion berechtigt ist. Eine leere Zelle bedeutet, dass die Rolle nicht zum Ausführen der Datenaktion berechtigt ist.
  • Alle Datenaktionsnamen haben das Präfix Microsoft.KeyVault/managedHsm. Dieses wurde in den Tabellen zur besseren Übersichtlichkeit weggelassen.
  • Alle Rollennamen haben das Präfix Verwaltetes HSM. Dieses wurde in der folgenden Tabelle zur besseren Übersichtlichkeit weggelassen.
Datenaktion Administrator Kryptoverantwortlicher Kryptografiebenutzer Richtlinien-Administrator Benutzer der Kryptografiedienstsverschlüsselung Backup Kryptografieprüfer Crypto Service Release User Wiederherstellen
Verwaltung der Sicherheitsdomäne
/securitydomain/download/action X
/securitydomain/upload/action X
/securitydomain/upload/read X
/securitydomain/transferkey/read X
Schlüsselverwaltung
/keys/read/action X X X
/keys/write/action X
/keys/rotate/action X
/keys/create X
/keys/delete X
/keys/deletedKeys/read/action X
/keys/deletedKeys/recover/action X
/keys/deletedKeys/delete X X
/keys/backup/action X X
/keys/restore/action X X
/keys/release/action X X
/keys/import/action X
Kryptografische Schlüsselvorgänge
/keys/encrypt/action X
/keys/decrypt/action X
/keys/wrap/action X X
/keys/unwrap/action X X
/keys/sign/action X
/keys/verify/action X
Rollenverwaltung
/roleAssignments/read/action X X X X X
/roleAssignments/write/action X X X
/roleAssignments/delete/action X X X
/roleDefinitions/read/action X X X X X
/roleDefinitions/write/action X X X
/roleDefinitions/delete/action X X X
Verwaltung der Sicherung und Wiederherstellung
/backup/start/action X X
/backup/status/action X X
/restore/start/action X X
/restore/status/action X X

Nächste Schritte