Tag & Ruoli#

I tag possono essere usati per mettere delle restrizioni di accesso su chiavi specifiche. Per esempio:

Utente JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Chiave mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

I tag sono gestiti dagli utenti amministratori:

  • Le chiavi possono essere soggette a una lista di restrizioni: un insieme di tag in cui uno di essi deve essere abbinato perché la chiave possa essere utilizzata.

  • Agli utenti operatori viene assegnato un set di tag che consente loro di utilizzare le chiavi corrispondenti. Può essere letto ma non modificato dall’utente.

  • Le restrizioni sono convalidate quando si usa una chiave, nel qual caso il tag utente definito deve corrispondere a uno dei tag dell’utente chiamante”.

  • Solo gli amministratori possono impostare i tag nei profili degli utenti.

  • I tag sono semplici stringhe e tutti gli amministratori possono impostarli senza restrizioni.

  • Ogni operatore può vedere tutte le chiavi, anche quelle con tag stranieri (ma non possono usarlo).

  • I tag sono opzionali.

  • (In futuro, le restrizioni potrebbero essere ampliate con altri tipi di condizioni, ad esempio con un periodo di tempo consentito).

Ruoli#

Ogni account utente configurato sul NetHSM ha uno dei seguenti Ruoli assegnati ad esso. Di seguito è riportata una descrizione di alto livello delle operazioni consentite dai singoli Ruoli, per i dettagli specifici dell’endpoint si rimanda alla documentazione delle API REST.

R-Administrator: Un account utente con questo ruolo ha accesso a tutte le operazioni fornite dall’API REST, ad eccezione delle operazioni di utilizzo delle chiavi, cioè la firma e la decrittazione dei messaggi.

R-Operatore: Un account utente con questo ruolo ha accesso a tutte le operazioni di utilizzo delle chiavi, a un sottoinsieme di operazioni di gestione delle chiavi in sola lettura e alle operazioni di gestione degli utenti che consentono modifiche solo al proprio account.

R-Metriche: Un account utente con questo ruolo ha accesso solo alle operazioni di metrica in sola lettura.

R-Backup: Un account utente con questo ruolo ha accesso solo alle operazioni necessarie per avviare un backup del sistema.