Štítky & Role#
Značky lze použít k omezení přístupu ke konkrétním klíčům. Například:
Uživatel JaneUser:
{
"realName": "Jane User",
"role": "Operator"
"tags": [ "berlin" , "frankfurt" ]
}
Klíč mykey:
{
"mechanisms": [
"RSA_Signature_PSS_SHA256"
],
"restrictions": {
"userTag": "berlin"
}
"type": "RSA",
"key": {
"modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
"publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
},
"operations": 242
}
Značky spravují uživatelé správce:
Klíče mohou podléhat seznamu omezení: sadě značek, v níž musí být jedna z nich shodná, aby mohl být klíč použit.
Uživatelům operátorů je přiřazena sada značek, které jim umožňují používat odpovídající klávesy. Uživatel je může číst, ale nemůže je měnit.
Omezení se ověřují při použití klíče, v takovém případě musí definovaná značka uživatele odpovídat jedné ze značek volajícího uživatele‘.
Značky v profilech uživatelů mohou nastavovat pouze správci.
Značky jsou jednoduché řetězce a všichni správci je mohou nastavovat bez omezení.
Každý operátor vidí všechny klíče, i ty s cizími značkami (ale nemůže je použít).
Značky jsou nepovinné.
(V budoucnu by bylo možné omezení rozšířit o další typy podmínek, např. povolený časový rámec.)
Role#
Každému uživatelskému účtu nakonfigurovanému v NetHSM je přiřazena jedna z následujících rolí. Níže je uveden stručný popis operací povolených jednotlivými rolemi, podrobnosti týkající se konkrétního koncového bodu naleznete v dokumentaci rozhraní REST API.
R-administrátor: Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným rozhraním REST API, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv.
R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu.
R-Metrics: Uživatelský účet s touto rolí má přístup pouze k operacím metrik pro čtení.
R-Backup: Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému.