Etiquetas & Roles#

Las etiquetas pueden usarse para poner restricciones de acceso a claves específicas. Por ejemplo:

Usuario JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Clave mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Las etiquetas son gestionadas por los usuarios administradores:

  • Las claves pueden estar sujetas a una lista de restricciones: un conjunto de etiquetas en las que una de ellas debe coincidir para que la clave pueda ser utilizada.

  • A los usuarios operadores se les asigna un conjunto de etiquetas que les permite utilizar las teclas correspondientes. El usuario puede leerlas pero no modificarlas.

  • Las restricciones se validan cuando se utiliza una clave, en cuyo caso la etiqueta de usuario definida tiene que coincidir con una de las etiquetas del usuario que llama.

  • Sólo los administradores pueden establecer etiquetas en los perfiles de los usuarios.

  • Las etiquetas son simples cadenas, y todos los administradores pueden establecer etiquetas sin restricciones.

  • Todos los operadores pueden ver todas las claves, también las que tienen etiquetas extranjeras (pero no pueden’utilizarlas).

  • Las etiquetas son opcionales.

  • (En el futuro, las restricciones podrían ampliarse con más tipos de condiciones, por ejemplo, el plazo permitido).

Roles#

Cada cuenta de usuario configurada en el NetHSM tiene asignada una de las siguientes funciones. A continuación se ofrece una descripción de alto nivel de las operaciones permitidas por los roles individuales; para obtener detalles específicos de los puntos finales, consulte la documentación de la API de REST.

R-Administrador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones proporcionadas por la API REST, con la excepción de las operaciones de uso de claves, es decir, la firma y el descifrado de mensajes.

R-Operador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones de uso de claves, a un subconjunto de operaciones de gestión de claves de sólo lectura y a operaciones de gestión de usuarios que sólo permiten cambios en su propia cuenta.

R-Metrics: Una cuenta de usuario con este rol sólo tiene acceso a operaciones de métrica de sólo lectura.

R-Backup: Una cuenta de usuario con este rol tiene acceso a las operaciones necesarias para iniciar una copia de seguridad del sistema solamente.