Ετικέτες & Ρόλοι#

Οι ετικέτες μπορούν να χρησιμοποιηθούν για την επιβολή περιορισμών πρόσβασης σε συγκεκριμένα κλειδιά. Για παράδειγμα:

Χρήστης JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Κλειδί mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Η διαχείριση των ετικετών γίνεται από τους χρήστες διαχειριστές:

  • Τα κλειδιά μπορούν να υπόκεινται σε έναν κατάλογο περιορισμών: ένα σύνολο ετικετών στις οποίες πρέπει να υπάρχει ταύτιση με μία από αυτές για να χρησιμοποιηθεί το κλειδί.

  • Στους χρήστες-χειριστές εκχωρείται ένα σύνολο ετικετών που τους επιτρέπει τη χρήση των αντίστοιχων πλήκτρων. Μπορεί να διαβαστεί αλλά όχι να τροποποιηθεί από τον χρήστη.

  • Οι περιορισμοί επικυρώνονται κατά τη χρήση ενός κλειδιού, οπότε η καθορισμένη ετικέτα χρήστη πρέπει να ταιριάζει με μία από τις ετικέτες του καλούντος χρήστη.

  • Μόνο οι διαχειριστές μπορούν να ορίσουν ετικέτες στα προφίλ χρηστών.

  • Οι ετικέτες είναι απλές συμβολοσειρές και όλοι οι διαχειριστές μπορούν να ορίσουν ετικέτες χωρίς περιορισμούς.

  • Κάθε χειριστής μπορεί να δει όλα τα κλειδιά, επίσης και εκείνα με ξένες ετικέτες (αλλά δεν μπορεί να τα χρησιμοποιήσει).

  • Οι ετικέτες είναι προαιρετικές.

  • (Στο μέλλον, οι περιορισμοί θα μπορούσαν να επεκταθούν με περισσότερους τύπους όρων, π.χ. επιτρεπόμενο χρονικό πλαίσιο.)

Ρόλοι#

Σε κάθε λογαριασμό χρήστη που έχει ρυθμιστεί στο NetHSM έχει εκχωρηθεί ένας από τους ακόλουθους ρόλους. Ακολουθεί μια περιγραφή υψηλού επιπέδου των λειτουργιών που επιτρέπονται από τους επιμέρους ρόλους, ενώ για λεπτομέρειες σχετικά με το τελικό σημείο ανατρέξτε στην τεκμηρίωση REST API.

R-Administrator Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση σε όλες τις λειτουργίες που παρέχονται από το REST API, με εξαίρεση τις λειτουργίες «χρήσης κλειδιού», δηλαδή την υπογραφή και αποκρυπτογράφηση μηνυμάτων.

R-Operator Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση σε όλες τις λειτουργίες «χρήσης κλειδιού», σε ένα υποσύνολο λειτουργιών «διαχείρισης κλειδιού» που επιτρέπεται μόνο για ανάγνωση και σε λειτουργίες «διαχείρισης χρήστη» που επιτρέπουν αλλαγές μόνο στον δικό τους λογαριασμό.

R-Metrics Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση μόνο σε λειτουργίες μετρήσεων μόνο για ανάγνωση.

R-Backup Ένας λογαριασμός χρήστη με αυτό το Ρόλο έχει πρόσβαση μόνο στις λειτουργίες που απαιτούνται για την έναρξη δημιουργίας αντιγράφων ασφαλείας του συστήματος.