Rôles intégrés RBAC locaux pour Managed HSM

Le contrôle d’accès en fonction du rôle (RBAC) local Azure Key Vault Managed HSM présente plusieurs rôles intégrés. Vous pouvez attribuer ces rôles à des utilisateurs, des principaux de service, des groupes et des identités managées.

Pour permettre à un principal d’effectuer une opération, vous devez lui attribuer un rôle qui lui en accorde l’autorisation. L’ensemble de ces rôles et de ces opérations vous permettent de gérer les autorisations uniquement pour les opérations de plan de données. Pour les opérations du plan de gestion, consultez les rôles intégrés Azure et Sécuriser l’accès à vos HSM managés.

Pour gérer les autorisations de plan de contrôle pour la ressource HSM managée, vous devez utiliser le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Voici quelques exemples d’opérations de plan de contrôle : créer un HSM managé, le mettre à jour, le déplacer ou le supprimer.

Rôles intégrés

Nom de rôle Description id
Administrateur du HSM managé Accorde les autorisations permettant d’effectuer toutes les opérations liées au domaine de sécurité, à la sauvegarde complète et à la restauration ainsi qu’à la gestion des rôles. Non autorisé à effectuer des opérations de gestion des clés. a290e904-7015-4bba-90c8-60543313cdb4
Responsable du chiffrement du HSM managé Accorde des autorisations pour effectuer toutes les opérations de gestion des rôles, vider ou récupérer des clés supprimées, et exporter des clés. Non autorisé à effectuer d’autres opérations de gestion des clés. 515eb02d-2335-4d2d-92f2-b1cbdf9c3778
Utilisateur du chiffrement du HSM managé Accorde les autorisations permettant d’effectuer toutes les opérations de gestion sur les clés à l’exception de leur suppression définitive, de la récupération des clés supprimées et de leur exportation. 21dbd100-6940-42c2-9190-5d6cb909625b
Administrateur des stratégies du HSM managé Accorde les autorisations permettant de créer et de supprimer des attributions de rôles. 4bd23610-cdcf-4971-bdee-bdc562cc28e4
Auditeur du chiffrement du HSM managé Accorde les autorisations d’accès en lecture pour lire (mais pas utiliser) les attributs de clé. 2c18b078-7c48-4d3a-af88-5a3a1b3f82b3
Utilisateur du service de chiffrement du HSM managé Accorde les autorisations permettant d’utiliser une clé pour le chiffrement du service. 33413926-3206-4cdd-b39a-83574fe37a17
Utilisateur de publication du service de chiffrement HSM managé Octroie des autorisations pour libérer une clé dans un environnement d’exécution approuvé. 21dbd100-6940-42c2-9190-5d6cb909625c
Sauvegarde du HSM managé Accorde les autorisations permettant d’effectuer la sauvegarde d’une seule clé ou de l’intégralité du HSM. 7b127d3c-77bd-4e3e-bbe0-dbb8971fa7f8
Restauration HSM managée Octroie des autorisations pour effectuer une restauration à clé unique ou À HSM entière. 6efe6056-5259-49d2-8b3d-d3d73544b20b

Opérations autorisées

Notes

  • Dans le tableau suivant, le X indique que le rôle en question est autorisé à effectuer l’action sur les données. Une cellule vide indique que le rôle n’est pas autorisé à effectuer cette action sur les données.
  • Tous les noms d’action sur les données ont le préfixe Microsoft.KeyVault/managedHsm, qui a été omis dans le tableau par souci de concision.
  • Tous les noms de rôle ont le préfixe Managed HSM, qui a été omis dans le tableau suivant par souci de concision.
Action sur les données Administrateur Crypto Officer Utilisateur du chiffrement Administrateur de la stratégie Utilisateur du service de chiffrement Backup Auditeur du chiffrement Utilisateur de publication de service de chiffrement Restaurer
Gestion de domaine de sécurité
/securitydomain/download/action X
/securitydomain/upload/action X
/securitydomain/upload/read X
/securitydomain/transferkey/read X
Gestion des clés
/keys/read/action X X X
/keys/write/action X
/keys/rotate/action X
/keys/create X
/keys/delete X
/keys/deletedKeys/read/action X
/keys/deletedKeys/recover/action X
/keys/deletedKeys/delete X X
/keys/backup/action X X
/keys/restore/action X X
/keys/release/action X X
/keys/import/action X
Opérations de chiffrement de clés
/keys/encrypt/action X
/keys/decrypt/action X
/keys/wrap/action X X
/keys/unwrap/action X X
/keys/sign/action X
/keys/verify/action X
Gestion des rôles
/roleAssignments/read/action X X X X X
/roleAssignments/write/action X X X
/roleAssignments/delete/action X X X
/roleDefinitions/read/action X X X X X
/roleDefinitions/write/action X X X
/roleDefinitions/delete/action X X X
Gestion des sauvegardes et des restaurations
/backup/start/action X X
/backup/status/action X X
/restore/start/action X X
/restore/status/action X X

Étapes suivantes