Tags & Rollen#

Tags können verwendet werden, um Zugangsbeschränkungen für bestimmte Schlüssel festzulegen. Zum Beispiel:

Benutzer JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Taste meineTaste:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Tags werden von Administrator-Benutzern verwaltet:

  • Schlüssel können einer Beschränkungsliste unterliegen: eine Reihe von Tags, von denen eines übereinstimmen muss, damit der Schlüssel verwendet werden kann.

  • Operator-Benutzer erhalten eine Reihe von Tags zugewiesen, die ihnen die Verwendung der entsprechenden Tasten ermöglichen. Sie können vom Benutzer gelesen, aber nicht verändert werden.

  • Einschränkungen werden überprüft, wenn ein Schlüssel verwendet wird. In diesem Fall muss der definierte Benutzer-Tag mit einem der Tags des aufrufenden Benutzers übereinstimmen.

  • Nur Administratoren können Tags in Benutzerprofilen setzen.

  • Tags sind einfache Zeichenfolgen, und alle Administratoren können Tags ohne Einschränkungen setzen.

  • Jeder Operator kann alle Schlüssel sehen, auch die mit fremden Tags (aber er kann sie nicht benutzen).

  • Tags sind optional.

  • (Künftig könnten die Einschränkungen um weitere Konditionsarten erweitert werden, z.B. erlaubter Zeitrahmen.)

Rollen#

Jedem auf dem NetHSM konfigurierten Benutzerkonto ist eine der folgenden Rollen zugewiesen. Nachfolgend finden Sie eine allgemeine Beschreibung der von den einzelnen Rollen erlaubten Vorgänge; endpunktspezifische Details finden Sie in der REST-API-Dokumentation.

R-Administrator Ein Benutzerkonto mit dieser Rolle hat Zugriff auf alle von der REST-API bereitgestellten Vorgänge, mit Ausnahme der Vorgänge zur „Schlüsselverwendung“, d. h. der Signierung und Entschlüsselung von Nachrichten.

R-Operator Ein Benutzerkonto mit dieser Rolle hat Zugriff auf alle Vorgänge der „Schlüsselnutzung“, eine schreibgeschützte Teilmenge der Vorgänge der „Schlüsselverwaltung“ und die Vorgänge der „Benutzerverwaltung“, die nur Änderungen für das eigene Konto erlauben.

R-Metrics Ein Benutzerkonto mit dieser Rolle hat nur Zugriff auf schreibgeschützte Metrikoperationen.

R-Backup Ein Benutzerkonto mit dieser Rolle hat nur Zugriff auf die Vorgänge, die zum Einleiten einer Systemsicherung erforderlich sind.