Gestione dei ruoli del modulo di protezione hardware gestito

Annotazioni

Key Vault supporta due tipi di risorse: vault e HSM gestiti. Questo articolo riguarda il modulo di protezione hardware gestito. Per informazioni su come gestire un Key Vault, vedere Quickstart: Creare un Key Vault utilizzando l'interfaccia della riga di comando di Azure.

Questo articolo fornisce istruzioni pratiche per la gestione di ruoli e assegnazioni di ruolo per un HSM Gestito. Implementa il modello di controllo degli accessi basato sui ruoli descritto in Controllo di accesso per HSM gestito utilizzando i ruoli predefiniti documentati in Ruoli RBAC locali predefiniti per HSM gestito.

Per una panoramica del Managed HSM, vedere Cos’è il Managed HSM? Se non si ha una sottoscrizione ad Azure, creare un account gratuito prima di iniziare.

Per consentire a un'entità di sicurezza, ad esempio un utente, un'entità servizio, un gruppo o un'identità gestita, di eseguire operazioni del piano dati del modulo HSM gestito, è necessario assegnare all'entità un ruolo che consenta l'esecuzione di tali operazioni. Ad esempio, se si vuole consentire a un'applicazione di eseguire un'operazione di firma usando una chiave, assegnargli un ruolo contenente il Microsoft.KeyVault/managedHSM/keys/sign/action come una delle azioni di dati. Assegnare un ruolo a un ambito specifico. Il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito supporta due ambiti, a livello di modulo di protezione hardware (/ o /keys) e per chiave (/keys/<key-name>).

Per un elenco di tutti i ruoli predefiniti del modulo di protezione hardware gestito e delle operazioni consentite, vedere Ruoli predefiniti del modulo di protezione hardware gestito.

Prerequisiti

È necessaria una sottoscrizione Azure. Se non ne hai uno, crea un account gratuito prima di iniziare.

Altri elementi necessari:

Un HSM gestito nella sottoscrizione. Vedere Quickstart: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando il portale di Azure per effettuare il provisioning e attivare un modulo di protezione hardware gestito.
Per usare interfaccia della riga di comando di Azure: interfaccia della riga di comando di Azure versione 2.25.0 o successiva. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere Installare il interfaccia della riga di comando di Azure.
Per usare Azure PowerShell: modulo Azure PowerShell.

Creare una nuova assegnazione di ruolo

Nel portale Azure, passare alla risorsa HSM gestito.
Nel menu a sinistra, in Impostazioni, selezionare RBAC locale.
Selezionare Aggiungi assegnazione di ruolo, scegliere il ruolo, l'ambito e l'entità, quindi salvare.

Assegnare ruoli per tutte le chiavi

Usare il comando az keyvault role assignment create per assegnare il ruolo di Utente crittografia HSM gestito all'utente identificato dal nome dell'entità utente <user-principal-name> per tutte le chiavi (ambito /keys) in <hsm-name>.

az keyvault role assignment create --hsm-name <hsm-name> --role "Managed HSM Crypto User" --assignee <user-principal-name>  --scope /keys

Assegnare il ruolo per una chiave specifica

Usare il comando az keyvault role assignment create per assegnare un ruolo di utente crypto del modulo di protezione hardware gestito all'utente, identificato dal nome principale dell'entità <user-principal-name>, per una chiave specifica denominata <key-name>.

az keyvault role assignment create --hsm-name <hsm-name> --role "Managed HSM Crypto User" --assignee <user-principal-name>  --scope /keys/<key-name>

Assegnare ruoli per tutte le chiavi

Usare il cmdlet New-AzKeyVaultRoleAssignment per assegnare un ruolo di utente Crypto gestito di HSM a un utente per tutte le chiavi (ambito /keys).

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> -RoleDefinitionName "Managed HSM Crypto User" -SignInName <user-principal-name> -Scope /keys

Assegnare il ruolo per una chiave specifica

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> -RoleDefinitionName "Managed HSM Crypto User" -SignInName <user-principal-name> -Scope /keys/<key-name>

Elencare le assegnazioni di ruolo esistenti

Nel portale Azure, vai alla risorsa del modulo di sicurezza hardware gestito.
Nel menu a sinistra, in Impostazioni, selezionare RBAC locale.

Nel portale vengono visualizzate tutte le assegnazioni di ruolo per il modulo di protezione hardware gestito. È possibile filtrare in base all'entità o all'ambito.

Tutte le assegnazioni di ruolo nell'ambito / (impostazione predefinita quando non è specificato alcun valore per --scope) per tutti gli utenti (impostazione predefinita quando non è specificato alcun valore per --assignee)

az keyvault role assignment list --hsm-name <hsm-name>

Tutte le assegnazioni di ruolo a livello HSM per un utente specifico <user-principal-name>.

az keyvault role assignment list --hsm-name <hsm-name> --assignee <user-principal-name>

Annotazioni

Quando scope è / (o /keys) il comando list elenca solo tutte le assegnazioni di ruolo al livello superiore e non mostra le assegnazioni di ruolo a livello di chiave individuale.

Tutte le assegnazioni di ruolo per un utente <user-principal-name> specifico per una chiave <key-name>specifica.

az keyvault role assignment list --hsm-name <hsm-name> --assignee <user-principal-name> --scope /keys/<key-name>

Un'assegnazione di ruolo specifica per il ruolo Responsabile crittografia HSM gestito per un utente specifico<user-principal-name> per una chiave specifica <key-name>

az keyvault role assignment list --hsm-name <hsm-name> --assignee <user-principal-name> --scope /keys/<key-name> --role "Managed HSM Crypto Officer"

Elencare tutte le assegnazioni di ruolo per il modulo di protezione hardware gestito:

Get-AzKeyVaultRoleAssignment -HsmName <hsm-name>

Elencare tutte le assegnazioni di ruolo per un utente specifico:

Get-AzKeyVaultRoleAssignment -HsmName <hsm-name> -SignInName <user-principal-name>

Elencare le assegnazioni di ruolo per un utente specifico in un ambito chiave specifico:

Get-AzKeyVaultRoleAssignment -HsmName <hsm-name> -SignInName <user-principal-name> -Scope /keys/<key-name>

Eliminare un'assegnazione di ruolo

Passare alla risorsa HSM gestita nel portale di Azure.
Nel menu a sinistra, in Impostazioni, selezionare RBAC locale.
Individuare l'assegnazione di ruolo da rimuovere.
Selezionare l'icona Elimina (cestino) accanto all'assegnazione.
Confermare l'eliminazione quando richiesto.

Utilizzare il comando az keyvault role assignment delete per eliminare un ruolo Managed HSM Crypto Officer assegnato all'utente <user-principal-name> per la chiave <key-name>.

az keyvault role assignment delete --hsm-name <hsm-name> --role "Managed HSM Crypto Officer" --assignee <user-principal-name>  --scope /keys/<key-name>

Usare il Remove-AzKeyVaultRoleAssignment cmdlet per eliminare un'assegnazione di ruolo:

Remove-AzKeyVaultRoleAssignment -HsmName <hsm-name> -RoleDefinitionName "Managed HSM Crypto Officer" -SignInName <user-principal-name> -Scope /keys/<key-name>

Elencare tutte le definizioni del ruolo disponibili

Nel portale Azure, accedere alla risorsa HSM gestito.
Nel menu a sinistra, in Impostazioni, selezionare RBAC locale.
Selezionare la scheda Ruoli per visualizzare tutte le definizioni di ruolo predefinite e personalizzate disponibili.

Usare il comando az keyvault role definition list per elencare tutte le definizioni del ruolo.

az keyvault role definition list --hsm-name <hsm-name>

Usare il Get-AzKeyVaultRoleDefinition cmdlet per elencare tutte le definizioni di ruolo:

Get-AzKeyVaultRoleDefinition -HsmName <hsm-name>

Creare una nuova definizione di ruolo

Annotazioni

Le definizioni di ruolo personalizzate possono essere gestite solo usando interfaccia della riga di comando di Azure o Azure PowerShell.

HSM gestito include diversi ruoli predefiniti utili per gli scenari di utilizzo più comuni. È possibile definire il proprio ruolo con un elenco di azioni specifiche che il ruolo può eseguire. È quindi possibile assegnare questo ruolo ai soggetti per concedere loro l'autorizzazione alle azioni specificate.

La creazione di ruoli personalizzati non è attualmente disponibile nel portale di Azure. Usare il interfaccia della riga di comando di Azure o il Azure PowerShell.

Usare az keyvault role definition create il comando per un ruolo denominato My Custom Role usando una stringa JSON.

az keyvault role definition create --hsm-name <hsm-name> --role-definition '{
    "roleName": "My Custom Role",
    "description": "The description of the custom rule.",
    "actions": [],
    "notActions": [],
    "dataActions": [
        "Microsoft.KeyVault/managedHsm/keys/read/action"
    ],
    "notDataActions": []
}'

Usare az keyvault role definition create il comando per un ruolo da un file denominato my-custom-role-definition.json contenente la stringa JSON per una definizione di ruolo. Vedere l'esempio precedente.

az keyvault role definition create --hsm-name <hsm-name> --role-definition @my-custom-role-definition.json

Usare il New-AzKeyVaultRoleDefinition cmdlet per creare un ruolo personalizzato da un file JSON:

New-AzKeyVaultRoleDefinition -HsmName <hsm-name> -InputFile ./my-custom-role-definition.json

Visualizzare i dettagli di una definizione di ruolo

La visualizzazione dei dettagli della definizione di ruolo personalizzata non è attualmente disponibile nel portale di Azure. Usare il interfaccia della riga di comando di Azure o il Azure PowerShell.

Usare il comando az keyvault role definition show per visualizzare i dettagli di una definizione di ruolo specifica usando il nome (GUID).

az keyvault role definition show --hsm-name <hsm-name> --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Usare il Get-AzKeyVaultRoleDefinition cmdlet per visualizzare le definizioni dei ruoli. Per visualizzare un ruolo personalizzato specifico in base al nome:

Get-AzKeyVaultRoleDefinition -HsmName <hsm-name> -RoleDefinitionName "My Custom Role"

Aggiornare una definizione di ruolo personalizzata

L'aggiornamento delle definizioni di ruolo personalizzate non è attualmente disponibile nel portale di Azure. Usare il interfaccia della riga di comando di Azure o il Azure PowerShell.

Usare az keyvault role definition update il comando per aggiornare un ruolo denominato My Custom Role usando una stringa JSON.

az keyvault role definition create --hsm-name <hsm-name> --role-definition '{
            "roleName": "My Custom Role",
            "name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
            "id": "Microsoft.KeyVault/providers/Microsoft.Authorization/roleDefinitions/xxxxxxxx-
        xxxx-xxxx-xxxx-xxxxxxxxxxxx",
            "description": "The description of the custom rule.",
            "actions": [],
            "notActions": [],
            "dataActions": [
                "Microsoft.KeyVault/managedHsm/keys/read/action",
                "Microsoft.KeyVault/managedHsm/keys/write/action",
                "Microsoft.KeyVault/managedHsm/keys/backup/action",
                "Microsoft.KeyVault/managedHsm/keys/create"
            ],
            "notDataActions": []
        }'

Per aggiornare un ruolo personalizzato, modificare l'oggetto ruolo e ricrearlo:

$role = Get-AzKeyVaultRoleDefinition -HsmName <hsm-name> -RoleDefinitionName "My Custom Role"
$role.Permissions[0].DataActions = @("Microsoft.KeyVault/managedHsm/keys/read/action", "Microsoft.KeyVault/managedHsm/keys/write/action", "Microsoft.KeyVault/managedHsm/keys/backup/action", "Microsoft.KeyVault/managedHsm/keys/create")
New-AzKeyVaultRoleDefinition -HsmName <hsm-name> -Role $role

Elimina la definizione del ruolo personalizzata

L'eliminazione delle definizioni di ruolo personalizzate non è attualmente disponibile nel portale di Azure. Usare il interfaccia della riga di comando di Azure o il Azure PowerShell.

Usare il comando interfaccia della riga di comando di Azure az keyvault role definition delete per eliminare una definizione di ruolo personalizzata usando il nome (GUID).

az keyvault role definition delete --hsm-name <hsm-name> --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Usare il Remove-AzKeyVaultRoleDefinition cmdlet per eliminare una definizione di ruolo personalizzata:

Remove-AzKeyVaultRoleDefinition -HsmName <hsm-name> -RoleName "My Custom Role"

Annotazioni

Non è possibile eliminare i ruoli predefiniti. Quando i ruoli personalizzati vengono eliminati, tutte le assegnazioni di ruolo che usano tale ruolo personalizzato diventano inattive.

Passaggi successivi

Visualizza una panoramica di Azure controllo degli accessi in base al ruolo (Azure RBAC).
Scopri di più sul modello di controllo accessi del Managed HSM
Vedere tutti i ruoli predefiniti per il controllo degli accessi in base al ruolo del modulo di protezione hardware gestito

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-30

Gestione dei ruoli del modulo di protezione hardware gestito

Prerequisiti

Creare una nuova assegnazione di ruolo

Elencare le assegnazioni di ruolo esistenti

Eliminare un'assegnazione di ruolo

Elencare tutte le definizioni del ruolo disponibili

Creare una nuova definizione di ruolo

Visualizzare i dettagli di una definizione di ruolo

Aggiornare una definizione di ruolo personalizzata

Elimina la definizione del ruolo personalizzata

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive