Етикети & Роли#

Таговете могат да се използват за поставяне на ограничения за достъп до определени ключове. Например:

Потребител JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Ключ mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Етикетите се управляват от потребители администратори:

  • Ключовете могат да бъдат обект на списък с ограничения: набор от тагове, в който един от тях трябва да съвпадне, за да може ключът да бъде използван.

  • Потребителите на оператора получават набор от тагове, които им позволяват да използват съответните клавиши. Той може да се чете, но не и да се променя от потребителя.

  • Ограниченията се потвърждават, когато се използва ключ, като в този случай определеният потребителски таг трябва да съвпада с един от таговете на викащия потребител‘.

  • Само администраторите могат да задават тагове в потребителските профили.

  • Таговете са прости низове и всички администратори могат да задават тагове без ограничения.

  • Всеки оператор може да види всички ключове, също и тези с чужди тагове (но не може да ги използва).

  • Етикетите не са задължителни.

  • (В бъдеще ограниченията могат да бъдат разширени с повече типове условия, напр. разрешен срок.)

Роли#

На всеки потребителски акаунт, конфигуриран в NetHSM, е присвоена една от следните роли. Следва описание на високо ниво на операциите, разрешени от отделните роли, а за подробности, специфични за крайната точка, моля, вижте документацията на REST API.

Р-администратор: Потребителски акаунт с тази роля има достъп до всички операции, предоставяни от REST API, с изключение на операциите за използване на ключове, т.е. подписване и декриптиране на съобщения.

Р-оператор: Потребителски акаунт с тази роля има достъп до всички операции за използване на ключове, подмножество от операции за управление на ключове само за четене и операции за управление на потребители, които позволяват промени само в собствения му акаунт.

R-Metrics: Потребителски акаунт с тази роля има достъп само до операции с метрики за четене.

R-Backup: Потребителският акаунт с тази роля има достъп само до операциите, необходими за започване на архивиране на системата.