Sildid & rollid#

Märgiseid saab kasutada konkreetsetele võtmetele juurdepääsupiirangute seadmiseks. Näiteks:

Kasutaja JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Võti mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Sildid haldavad administraatori kasutajad:

  • Võtmete suhtes võib kohaldada piirangute nimekirja: siltide kogum, milles üks neist peab vastama, et võtit saaks kasutada.

  • Operaatorite kasutajatele määratakse sildid, mis võimaldavad neil kasutada vastavaid võtmeid. Seda saab lugeda, kuid kasutaja ei saa seda muuta.

  • Piiranguid valideeritakse võtme kasutamisel, mille puhul peab määratletud kasutaja silt vastama ühele kutsuva kasutaja sildile’s.

  • Ainult administraatorid saavad kasutajate profiilides silte määrata.

  • Sildid on lihtsad stringid ja kõik administraatorid saavad piiranguteta silte määrata.

  • Iga operaator saab näha kõiki võtmeid, ka neid, millel on võõrtagid (kuid nad ei saa seda kasutada).

  • Sildid on vabatahtlikud.

  • (Tulevikus võib piiranguid laiendada rohkemate tingimustüüpidega, nt lubatud ajavahemik.)

Rollid#

Igale NetHSM-i konfigureeritud kasutajakontole on määratud üks järgmistest rollidest. Järgnevalt on esitatud üksikute rollide poolt lubatud toimingute kõrgetasemeline kirjeldus, lõpp-punktispetsiifilisi üksikasju leiate REST API dokumentatsioonist.

R-administraator Selle rolliga kasutajakontol on juurdepääs kõikidele REST API pakutavatele toimingutele, välja arvatud võtmekasutuse toimingud, st sõnumite allkirjastamine ja dekrüpteerimine.

R-Operator Selle rolliga kasutajakontol on juurdepääs kõikidele võtmekasutuse toimingutele, võtmehalduse toimingute ainult lugemiseks mõeldud alamhulgale ja kasutajahalduse toimingutele, mis võimaldavad muudatusi ainult nende enda kontole.

R-Metrics Selle rolliga kasutajakontol on juurdepääs ainult lugemisõigusega meetrikaoperatsioonidele.

R-Backup Selle rolliga kasutajakontol on juurdepääs ainult süsteemi varundamise algatamiseks vajalikele toimingutele.