Tags & Rôles#

Les étiquettes peuvent être utilisées pour imposer des restrictions d’accès à des clés spécifiques. Par exemple :

Utilisateur JaneUser: :

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Clé mykey: :

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Les étiquettes sont gérées par les utilisateurs administrateurs :

  • Les clés peuvent être soumises à une liste de restrictions : un ensemble de balises dans lesquelles l’une d’entre elles doit correspondre pour que la clé puisse être utilisée.

  • Les utilisateurs de l’opérateur se voient attribuer un ensemble de balises leur permettant d’utiliser les touches correspondantes. Il peut être lu mais non modifié par l’utilisateur.

  • Les restrictions sont validées lors de l’utilisation d’une clé, auquel cas le tag de l’utilisateur défini doit correspondre à l’un des tags de l’utilisateur appelant.

  • Seuls les administrateurs peuvent définir des balises dans les profils des utilisateurs.

  • Les balises sont de simples chaînes de caractères, et tous les administrateurs peuvent en définir sans restriction.

  • Chaque opérateur peut voir toutes les clés, y compris celles avec des balises étrangères (mais il ne peut pas les utiliser).

  • Les étiquettes sont facultatives.

  • (À l’avenir, les restrictions pourraient être étendues à d’autres types de conditions, par exemple le délai autorisé).

Rôles#

Chaque compte utilisateur configuré sur le NetHSM se voit attribuer l’un des rôles suivants. Vous trouverez ci-dessous une description de haut niveau des opérations autorisées par les rôles individuels. Pour les détails spécifiques aux points de terminaison, veuillez vous reporter à la documentation de l’API REST.

R-Administrator Un compte utilisateur doté de ce rôle a accès à toutes les opérations fournies par l’API REST, à l’exception des opérations d“« utilisation des clés », c’est-à-dire la signature et le décryptage des messages.

R-Operator Un compte d’utilisateur avec ce rôle a accès à toutes les opérations d“« utilisation des clés », à un sous-ensemble en lecture seule des opérations de « gestion des clés » et aux opérations de « gestion des utilisateurs » permettant des changements uniquement pour leur propre compte.

R-Metrics Un compte utilisateur avec ce rôle a accès aux opérations de métriques en lecture seule uniquement.

R-Backup Un compte utilisateur avec ce rôle a accès aux opérations requises pour initier une sauvegarde du système uniquement.