Impostazione dei ruoli personalizzati per Unified Key Orchestrator

Per gestire gli utenti e accedere a Unified Key Orchestrator chiavi, memorie e guasti, Hyper Protect Crypto Services fornisce ruoli di accesso IAM a livello di servizio predefinito per assegnare e controllare l'accesso. Se si desidera impostare ruoli personalizzati più granulari per gestire l'accesso utente in modo da soddisfare i requisiti della propria azienda, di seguito sono riportate alcune procedure ottimali che è possibile seguire.

Passo 1: Creare ruoli IAM personalizzati

Per creare un ruolo personalizzato, completare la seguente procedura:

Nella IU, vai a Manage > Access (IAM) e seleziona Roles.
Fai clic su Crea.
Immettere un nome per il ruolo. Questo nome deve essere univoco all'interno dell'account. Puoi visualizzare questo nome ruolo nell'IU quando assegni l'accesso al servizio.
Inserire un ID per il ruolo. Questo ID viene utilizzato nel CRN, che viene utilizzato quando si assegna l'accesso utilizzando l'API. Il ruolo ID deve iniziare con una lettera maiuscola e utilizzare solo caratteri alfanumerici; ad esempio MyVaultAdministrator.
Facoltativamente, è possibile inserire una descrizione succinta e utile che aiuta gli utenti che stanno assegnando l'accesso sapere quale livello di accesso questo incarico di assegnazione dà un utente. Questa descrizione viene visualizzata anche nell'IU quando assegni l'accesso al servizio.
Dall'elenco di servizi, selezionare Hyper Protect Crypto Services.

Selezionare Aggiungi per aggiungere azioni per il ruolo.

La seguente tabella elenca i ruoli personalizzati suggeriti e le azioni corrispondenti per il tuo riferimento:

Tabella 1. Ruoli e azioni personalizzate corrispondenti alle operazioni Unified Key Orchestrator
Ruolo	Descrizione	Azioni
Il mio amministratore di protezione	Gestisce le aggressioni.	`hs-crypto.managed-keys.read` `hs-crypto.managed-keys.list` `hs-crypto.target-keystores.read` `hs-crypto.target-keystores.list` `hs-crypto.key-templates.read` `hs-crypto.key-templates.list` `hs-crypto.vaults.read` `hs-crypto.vaults.list` `hs-crypto.vaults.write` `hs-crypto.vaults.delete` `hs-crypto.uko.initiate-paid-upgrade` `hs-crypto.uko.add-paid-keystore`
Amministratore del mio archivio chiavi	Gestisce i keystores.	`hs-crypto.managed-keys.read` `hs-crypto.managed-keys.list` `hs-crypto.target-keystores.read` `hs-crypto.target-keystores.list` `hs-crypto.target-keystores.write` `hs-crypto.target-keystores.delete` `hs-crypto.key-templates.read` `hs-crypto.key-templates.list` `hs-crypto.vaults.read` `hs-crypto.vaults.list` `hs-crypto.uko.initiate-paid-upgrade` `hs-crypto.uko.add-paid-keystore`
Il mio amministratore chiave	Gestisce i permessi speciali per le attività amministrative, come ad esempio le azioni distruttive.	`hs-crypto.managed-keys.deactivated-destroy` `hs-crypto.managed-keys.destroyed-remove` `hs-crypto.managed-keys.read` `hs-crypto.managed-keys.list` `hs-crypto.managed-keys.delete` `hs-crypto.target-keystores.read` `hs-crypto.target-keystores.list` `hs-crypto.key-templates.read` `hs-crypto.key-templates.list` `hs-crypto.key-templates.write` `hs-crypto.key-templates.delete` `hs-crypto.vaults.read` `hs-crypto.vaults.list`
Il mio custode - creatore chiave	Gestisce e crea chiavi. Per un ciclo di vita chiave completo, sono necessari entrambi i ruoli Creator e Deployer. Per implementare la separazione dei compiti, assegnare il ruolo di Creator e Deployer a persone diverse.	`hs-crypto.managed-keys.preactivation-destroy` `hs-crypto.managed-keys.active-install` `hs-crypto.managed-keys.active-uninstall` `hs-crypto.managed-keys.deactivated-install` `hs-crypto.managed-keys.deactivated-uninstall` `hs-crypto.managed-keys.read` `hs-crypto.managed-keys.list` `hs-crypto.managed-keys.write` `hs-crypto.managed-keys.generate` `hs-crypto.managed-keys.distribute` `hs-crypto.managed-keys.write-dates` `hs-crypto.managed-keys.write-tags` `hs-crypto.target-keystores.read` `hs-crypto.target-keystores.list` `hs-crypto.key-templates.read` `hs-crypto.key-templates.list` `hs-crypto.key-templates.write` `hs-crypto.vaults.read` `hs-crypto.vaults.list`
Il mio custode - distributore chiave	Gestisce e distribuisce le chiavi. Per un ciclo di vita chiave completo, sono necessari entrambi i ruoli Creator e Deployer. Per implementare la separazione dei compiti, assegnare il ruolo di Creator e Deployer a persone diverse.	`hs-crypto.managed-keys.preactivation-activate` `hs-crypto.managed-keys.preactivation-destroy` `hs-crypto.managed-keys.active-deactivate` `hs-crypto.managed-keys.active-install` `hs-crypto.managed-keys.active-uninstall` `hs-crypto.managed-keys.deactivated-install` `hs-crypto.managed-keys.deactivated-reactivate` `hs-crypto.managed-keys.deactivated-uninstall` `hs-crypto.managed-keys.read` `hs-crypto.managed-keys.list` `hs-crypto.managed-keys.write` `hs-crypto.managed-keys.distribute` `hs-crypto.managed-keys.write-dates` `hs-crypto.managed-keys.write-tags` `hs-crypto.target-keystores.read` `hs-crypto.target-keystores.list` `hs-crypto.key-templates.read` `hs-crypto.key-templates.list` `hs-crypto.vaults.read` `hs-crypto.vaults.list`
Il mio lettore	Esegue azioni di sola lettura per scopi di revisione.	`hs-crypto.managed-keys.read` `hs-crypto.managed-keys.list` `hs-crypto.target-keystores.read` `hs-crypto.target-keystores.list` `hs-crypto.key-templates.read` `hs-crypto.key-templates.list` `hs-crypto.vaults.read` `hs-crypto.vaults.list`

Clicca su Crea dopo aver selezionato le azioni appropriate per il tuo ruolo personalizzato.

Passo 2: Assegnazione ruoli IAM agli utenti

Prima che gli utenti possano accedere a Unified Key Orchestrator vaglie, keystores o chiavi, è necessario concedere agli utenti i ruoli IAM appropriati completando i seguenti passaggi:

Dalla barra dei menu, fai clic su Manage > Access (IAM) e seleziona Users per sfogliare gli utenti esistenti nel tuo account.
Selezionare l'utente e fare clic su Azioni per aprire un elenco di opzioni per tale utente.

Clicca su Utenti inattivi per aggiungere un utente al tuo account se l'utente non è in tabella. Per ulteriori informazioni, consultare Invitare gli utenti su un account.
Dal menu delle opzioni, fai clic su Assegna accesso.
Fare clic su Politica di accesso.
In Servizio, seleziona Hyper Protect Crypto Services e fai clic su Avanti.
In Risorse, selezionare le risorse a cui si desidera assegnare l'accesso e fare clic su Avanti.
- Se si desidera assegnare l'accesso utente a tutte le istanze Hyper Protect Crypto Services sotto il proprio account, selezionare Tutte le risorse.
- Se vuoi assegnare l'accesso utente a parte delle risorse Hyper Protect Crypto Services sotto il tuo account, seleziona Risorse specifiche e aggiungi le condizioni corrispondenti in base alle tue necessità. Ad esempio, seleziona l'ID istanza del servizio e specifica l'istanza dall'elenco.
In Ruoli e azioni, scegliere una combinazione di ruoli di accesso alla piattaforma e al servizio per assegnare l'accesso per l'utente e fare clic su Avanti.
- Controllare la casella per almeno il ruolo Viewer sotto Accesso piattaforma. Per ulteriori informazioni sui ruoli della piattaforma IAM, consultare Ruoli di accesso alla piattaforma.
- Controllare la casella per il ruolo personalizzato corrispondente che si imposta in Passo 1 in base alle proprie esigenze.
Se non hai alcun ruolo personalizzato, puoi selezionare i ruoli IAM esistenti che coprono le azioni che vuoi assegnare all'utente. È possibile visualizzare le azioni specifiche che corrispondono al ruolo facendo clic sul numero.
(Facoltativo) In Condizioni (facoltativo), fare clic su Rivedi per controllare la politica di accesso.
Dopo la conferma, fare clic su Aggiungi > Assegna.

Operazioni successive

Per scoprire come concedere l'accesso alle aggressioni, consultare Concessione di accessi alle volte.