管理部門#

この章では、管理者 の役割を持つユーザーのための管理タスクについて説明します。役割の詳細については、章`役割<administration#roles>`__ を参照してください。

重要

作業を始める前に、`このドキュメントの冒頭にある情報<index.html>`__を必ず読んでください。

システム管理#

デバイス情報#

NetHSMのベンダー情報および製品情報は、以下の手順で取得することができます。

**

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

ブートモード#

NetHSMは、*Attended Boot*モードと*Unattended Boot*モードで使用できます。

ブートモード

説明

ブートに参加

NetHSM は _Locked_ 状態で起動します。Unlock Passphrase を起動時に入力する必要があります。このパスフレーズは*User Data* の復号化に使用されます。セキュリティ上の理由から、このモードが推奨され、プロビジョニングされたばかりのシステムのデフォルトモードです。

無人ブート

システムは、Unlock Passphrase を入力する必要なく、_Operational_ 状態で無人起動します。Attended Boot モードで可用性要件を満たせない場合は、このモードを使用します。

警告

ブートモードに関係なく、Unlock Passphrase は有効性を保ち、他のハードウェアのバックアップを復元するために必要です。Unlock Passphrase は、いつでも安全に保管してください。

現在の起動モードは、次のように取得できます。

**

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

ブートモードは以下のように変更できます。次回のブート時には、NetHSMはそれに従って動作します。

**論評

論証

説明

ステータス

無人起動*を有効または無効にします。値は on または off とすることができます。

**

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

状態#

NetHSMソフトウェアには、4つの状態があります。UnprovisionedProvisionedLocked*Operational*の4つの状態があります。

状態

説明

*非プロビジョニング

NetHSM コンフィギュレーションなし(工場出荷時)

*プロビジョニング

NetHSMにコンフィグレーションを行った状態。Provisioned* 状態は、Operational または Locked 状態のいずれかを意味します。

*動作確認済み

NetHSMが設定され、コマンドを実行する準備ができた状態。動作中 "の状態は、"プロビジョニング中 "の状態を意味します。

Locked

NetHSM はコンフィギュレーションを持つが、暗号化され、データストアにアクセスできない。通常、次のステップはシステムのロックを解除することです。Locked 状態は*Provisioned* 状態を意味する。

NetHSMの現状と変遷

NetHSMの現状と変遷#


NetHSMの現在の状態は、以下のように取得できます。

**

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

新しいNetHSMは、Unprovisioned(未プロビジョニング) の状態にあり、プロビジョニング後、Operational(運用中) の状態になります。NetHSM のプロビジョニングについては、`プロビジョニング<getting-started#provisioning>`__ の章で説明しています。

動作状態*にあるNetHSMは、以下のように再度ロックして保護することができます。

**

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

ロック 状態の NetHSM は、以下の手順でロックを解除できます。NetHSMが_Locked_状態にある間は、他の操作はできません。その後、NetHSM は _Operational_ 状態になります。

**

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

パスフレーズのロック解除#

ロック解除パスフレーズ*は、NetHSMが*ロック*状態である場合、*ロック解除キー*を導き出すために使用されます。パスフレーズはNetHSMのプロビジョニング時に初期設定されます。

警告

ロック解除パスフレーズは、現在の値がわからないとリセットできません。ロック解除パスフレーズを紛失した場合、新しい値にリセットすることも、NetHSMのロックを解除することもできません。

ロック解除のパスフレーズ*は、次のように設定できます。

オプション設定

オプション

説明

-n,``--new-passphrase````TEXT``

新しいロック解除用パスフレーズ

-p,``--current-passphrase````TEXT``

現在のロック解除パスフレーズ

-f`, ` .--force`

パスフレーズを変更する前に確認を求めない。

**

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS証明書#

TLS証明書は、HTTPSベースのREST APIに使用されるため、*nitropy*でも使用されます。プロビジョニング時に、自己署名入りの証明書が作成されます。この証明書は、たとえば認証局(CA)からの署名付き証明書で置き換えることができます。この場合、証明書署名要求(CSR)を生成する必要があります。署名後、証明書をNetHSMにインポートする必要があります。

変更は、証明書を置き換える場合にのみ必要である。そのような変更は、認証局(CA)からの署名された証明書に置き換えることである。

TLS証明書は、次のようにして取得することができます。

必須オプション

オプション

説明

-a, --api, -a<xid="3"></x><xid="4"></x>`。

Get the certificate for the NetHSM TLS interface

**

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS証明書は、以下の手順で生成することができます。

必須オプション

オプション

説明

-t, --type ``[RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]``に相当する。

生成された鍵のタイプ

-l, --length INTEGER, <ex id="5"></x><x id="7"></x><ex id="8"></x></ex

生成された鍵の長さ

**

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

証明書のCSR(Certificate Signing Request)は、以下の手順で生成することができます。

必須オプション

オプション

説明

-a, --api, -a<xid="3"></x><xid="4"></x>`。

NetHSM TLS証明書のCSRを生成する

--country TEXT

国名

--state-or-province TEXT

州・県名

--locality TEXT

産地名

--organization TEXT

組織名

--organizational-unit TEXT

組織単位名

--common-name TEXT

一般名称

--email-address TEXT

電子メールアドレス

**

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

証明書の差し替えは、以下のように行います。

必須オプション

オプション

説明

-a, --api, -a<xid="3"></x><xid="4"></x>`。

NetHSM TLSインターフェイスの証明書を設定する

**論評

論証

説明

FILENAME

証明書ファイル

**

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

ネットワーク#

ネットワークコンフィギュレーションは、*ネットワークポート*に使用する設定を定義します。

注釈

この設定では、*BMCネットワークポート*は設定されません。

ネットワーク構成は、次のように取得できます。

必須オプション

オプション

説明

--network

ネットワーク構成を問い合わせる

**

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

ネットワーク構成を次のように設定します。

注釈

NetHSMは、DHCP(Dynamic Host Configuration Protocol)に対応していません。

注釈

NetHSMは、IPv6(インターネットプロトコルバージョン6)には対応していません。

必須オプション

オプション

説明

-a, --ip-address.

新しいIPアドレス

-n, --netmask.

新しいネットマスク

-n, --netmask.

新しいゲートウェイ

**

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

時間#

タイムコンフィギュレーションは、NetHSMソフトウェアのシステム時刻を設定します。システム時刻はプロビジョニング時に設定されるため、通常は設定する必要はありません。

タイムコンフィギュレーションは以下のように取得できます。

必須オプション

オプション

説明

--time

システム時刻を問い合わせる

**

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

NetHSMの時刻を設定します。

重要

時刻は必ずUTCタイムゾーンで渡してください。

**論評

論証

説明

time

設定するシステム時刻(形式:YYYY-MM-DDTHH:MM:SSZ)

**

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

指標#

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

メトリクスは、以下のように取得できます。

必須項目

This operation requires an authentication with the Metrics role.

**

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

ロギング#

NetHSMは、システムイベントをシリアルポートまたはネットワーク上のsyslogサーバーに記録することができます。

重要

本番環境では、NetHSMログを継続的に監視して、潜在的なセキュリティ問題を即座に通知する必要があります。

syslogサーバーの設定は、以下のように取得することができます。

必須オプション

オプション

説明

--network

ロギング設定を問い合わせる

**

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

syslogサーバーの設定は、以下のように行います。

必須オプション

オプション

説明

-p, --passphrase ``TEXT``に相当する。

新しいロギング先のIPアドレス

-p, --port ``INTEGER``に相当する。

新しいロギング先のポート

-l, --log-level ``[debug|info|warning|error]``に相当する。

新しいログレベル

**

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

シリアルコンソールは、NetHSMハードウェアの起動直後から動作します。NetHSMファームウェアとNetHSMソフトウェアからのイベントも含まれます。

シリアルコンソールの接続設定は、以下の通りです。

設定

価値

ボーレート

115200

データビット

8

ストップビット

1

パリティ

なし

フロー制御

なし

バックアップ#

NetHSMの*ユーザーデータ*は、バックアップファイルに保存することができます。このバックアップファイルには、すべての*ユーザーデータ*、すなわち*コンフィグレーションストア*、認証ストアドメインキーストア、および*キーストア*が含まれています。

重要

Unattended Boot モードの NetHSM システムソフトウェアは、異なる NetHSM ハードウェアにリストアする場合、Unlock Passphrase が必要になります。詳しくは、`Unlock Passphrase<administration#unlock-passphrase>`__の章を参照してください。

重要

無人起動*モードのNetHSMは、リストア後も同じモードとなります。

バックアップを開始する前に、Backup Passphrase を設定する必要があります。バックアップパスフレーズ*は、バックアップファイルのデータを暗号化するために使用されます。

警告

バックアップパスフレーズは、現在の値を知らなければリセットできません。バックアップパスフレーズが失われた場合、新しい値にリセットすることも、作成したバックアップを復元することもできません。

バックアップパスフレーズは、以下のように設定できます。

オプション設定

オプション

説明

-n,``--new-passphrase````TEXT``

新しいバックアップのパスフレーズ

-p,``--current-passphrase````TEXT``

現在のバックアップパスフレーズ(設定されていない場合は空文字列)

-f`, ` .--force`

パスフレーズを変更する前に確認を求めない。

**

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

バックアップは次のように実行できます。

必須項目

This operation requires an authentication with the Backup role.

**論評

論証

説明

FILENAME

バックアップファイル

**

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

リストア#

NetHSMは、バックアップファイルから復元することができます。

  • NetHSM が*Unprovisioned* の場合、システム設定を含むすべての*ユーザーデータ* を復元し、再起動します。そのため、システムはその後、異なるネットワーク設定、TLS証明書、Unlock Passphrase を取得する可能性があります。

  • NetHSM が*Provisioned* の場合、ユーザーとユーザーキーはリストアされますが、システム構成はリストアされません。この場合、既存のユーザーとユーザーキーはすべて削除されます。NetHSM は*運用中* の状態で終了します。

復元は、以下のように適用できます。

オプション設定

オプション

説明

-p, --backup-passphrase ``passphrase``に相当する。

バックアップパスフレーズ*について

-t, --system-time, -t<xid="2"></x><xid="3"><xid="4"></x>`。

設定するシステム時刻(書式:YYYY-MM-DDTHH:MM:SSZ)

重要

ローカルコンピュータの時刻が正しく設定されていることを確認してください。別の時刻を設定する場合は、手動で指定してください。

**論評

論証

説明

``FILENAME``| ファイルをリストアする

**

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication#

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

ソフトウェア・アップデート#

ソフトウェアアップデートは、2 段階のプロセスでインストールできます。まず、Provisioned NetHSM にアップデートイメージをアップロードする必要があります。NetHSM は、イメージの信頼性、完全性、およびバージョン番号を検証します。オプションで、NetHSM はリリースノートがあれば表示します。

警告

ベータ版アップデートのインストールにより、データ損失が発生する可能性があります!安定版ではデータ損失は発生しません。しかし、アップデートの前にバックアップを作成することをお勧めします。

アップデートファイルのアップロードは、以下の手順で行います。

**論評

論証

説明

FILENAME

アップデートファイル

**

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

その後、アップデートを適用または中止することができます。以下のオプションを参照してください。コミット "操作の前にNetHSMの電源を落とした場合、アップデートファイルを再度アップロードする必要があります。

重要

Error: NetHSM request failed: Bad request -- malformed image でアップロードに失敗した場合は、以下の手順に従ってください。

  1. 提供された署名でチェックし、有効な更新ファイルがあることを確認してください。

  2. ``DEBUG``のような高いログレベルが有効になっていないことを確認してください。ログ・レベルの設定については、`ログ<https://docs.nitrokey.com/nethsm/administration#logging>`__ の章を参照してください。

  3. アプライアンスを再起動して、使用済みメモリを解放します。

アップデートの適用(コミット)は次のように行います。データ移行は、* NetHSM が新しいシステムソフトウェアバージョンのブートに成功した後、*のみ実行されます。

**

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

アップデートの取り消しは、以下の手順で行えます。

**

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

システム情報#

ファームウェアのバージョン、ソフトウェアのバージョン、ハードウェアのバージョンなどのシステム情報は、以下のようにして取得することができる。

**

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

リブートとシャットダウン#

NetHSMの再起動とシャットダウンは、リモートで行うか、NetHSMハードウェアの前面にある再起動と電源オフボタンで行うことができます。

リモートリブートは、以下の手順で開始することができます。

**

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

リモートシャットダウンは、以下の手順で開始することができます。

**

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

工場出荷時の状態に戻す#

プロビジョニング済み NetHSM は、工場出荷時のデフォルトにリセットできます。この場合、すべてのユーザーデータは安全に削除され、 NetHSM は*Unprovisioned* の状態で起動します。その後、` <getting-started#provisioning>` __ NetHSM をプロビジョニングすることができます。

工場出荷時へのリセットは、以下の手順で行うことができます。

**

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

ユーザー管理#

役割#

NetHSMでは、異なるロールを使用することにより、職務の分離が可能です。NetHSMに設定された各ユーザーアカウントには、以下の*ロール*のいずれかが割り当てられています。

役割

説明

アドミニストレーター

この役割を持つユーザーアカウントは、鍵の使用操作(メッセージの署名と復号化)を除き、NetHSMが提供するすべての操作にアクセスすることができます。

*オペレーター

この役割を持つユーザーアカウントは、すべての鍵使用操作、鍵管理操作の読み取り専用サブセット、およびユーザー管理操作にアクセスし、自分のアカウントにのみ変更を許可します。

Metrics

この役割を持つユーザー・アカウントは、読み取り専用のメトリックス操作にのみアクセスできる。

Backup

この役割を持つユーザーアカウントは、システムバックアップを開始するために必要な操作にのみアクセスすることができます。

より細かいアクセス制限については、`名前空間<administration#namespaces>`__ と`タグ<administration#tags-for-users>`__ を参照してください。

注釈

将来のリリースでは、追加のロール*が導入される可能性があります。

ユーザーを追加する#

NetHSM にユーザーアカウントを追加します。各ユーザーアカウントには*役割* があり、これを指定する必要があります。役割 について詳しくは、`役割<administration#roles>`__ の章を参照してください。

オプションとして、ユーザーを`*名前空間*<administration#namespaces>`__ に割り当てることができる。

注釈

ユーザー ID は英数字でなければなりません。ユーザーIDが指定されていない場合、NetHSMはランダムなユーザーIDを割り当てます。

ユーザーアカウントは、以下の手順で追加することができます。

必須オプション

オプション

説明

-n, --real-name ``TEXT``に相当する。

新規ユーザーの本名

-N,``--namespace````TEXT``

新しいユーザーの名前空間

-r, --role ``[Administrator|Operator|Metrics|Backup]``に相当する。

新規ユーザーの 役割 を指定します。

-p, --passphrase ``TEXT``に相当する。

新規ユーザーのパスフレーズ

オプション設定

オプション

説明

-u, --user-id ``TEXT``に相当する。

新規ユーザーのユーザーID

**

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

デフォルトでは、Namespaceは新規ユーザーを追加したユーザーから継承されます。Namespaceを持たないユーザーだけが、新しいユーザーに別のNamespaceを選択することができます。Namespaceは`namespace~user`のようにユーザー名のプレフィックスとして使用されます。したがって、同じユーザー名を複数のNamespaceで使用することができます。

ユーザー削除#

NetHSMからユーザーアカウントを削除します。

警告

削除は永久的なものであり、元に戻すことはできません。

ユーザーアカウントの削除は、次の手順で行います。

**論評

論証

説明

USER_ID

ユーザーのId。

**

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

リストユーザー#

NetHSMのユーザーをリストアップします。

このリストは、次のようにして取得することができます。

オプション設定

オプション

説明

--details, --no-details.

ユーザーの実名とロールを問い合わせる

**

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Namespace内のユーザは、同じNamespace内のユーザしか見ることができません。

ユーザーパスフレーズ#

ユーザーアカウントのパスフレーズを再設定することができます。パスフレーズは、ユーザーアカウントを追加する際に初期設定されます。

注釈

パスフレーズは10文字以上200文字以下である必要があります。

ユーザーパスフレーズは、次のように設定できます。

必須オプション

オプション

説明

-u, --user-id ``TEXT``に相当する。

ユーザーのID

-p, --passphrase ``TEXT``に相当する。

ユーザーの新しいパスフレーズ

**

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

名前空間#

Namespaces 、ソフトウェアのバージョン2.0から導入された。それ以前のバージョンから移行する場合、既存のユーザーとキーはすべてNamespaceなしとなる。

パーティションの概念と同様に、NetHSMはより柔軟な*「ネームスペース」* をサポートしている。ユーザーは同じネームスペース内のキーのみを参照、使用でき、同じネームスペース内の ユーザーのみを参照できる。他のネームスペースのキーを見たり使用したりすることはできない。新しいユーザが作成されると、そのユーザはそのユーザを作成したユーザの Namespace を継承する。使用可能なストレージ容量は、すべてのネームスペースで共有されます。

管理者 `役割<administration#roles>`__ を持つユーザーは、ネームスペースにいない場合は*R-管理者* とも呼ばれ、ネームスペースにいる場合は*N-管理者* とも呼ばれる。

R-Administrator ユーザーには特別なルールが適用されます:新規ユーザーのネームスペースの設定、全ユーザーの一覧表示、ユーザーのネームスペー スの照会が可能です。また、NetHSM の設定にアクセスできるのは、R-Administrator ユーザーのみです。 R-Administrator はネームスペース内のキーを見ることはできません。

Namespace でキーとユーザーを生成するには、R-Administrator ユーザーによって Namespace を作成する必要がある。いったん Namespace が作成されると、R-Administrator ユーザーは、その Namespace 内でユーザーを作成、削除、変更することができなくなる。 これにより、R-Administrator によってアクセスされる Namespace のキーを保護することができます(新しいユーザーを代理で追加したり、既存のユーザーや管理者の資格情報をリセットしたりすることで、間接的に保護することもできます)。したがって、Namespace を作成する前に、Namespace 用に*N-Administrator* ユーザーを作成する必要があります。R-Administrator ユーザーは、Namespace と含まれるすべてのキーを削除することもできる。

名前空間の一覧#

NetHSMのネームスペースをリストアップします。

このリストは、次のようにして取得することができます。

**

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

名前空間の追加#

NetHSMに名前空間を追加します。

R-Administrator ユーザーは、ネームスペースが作成される前に、ネームスペースに新しいア カウントを作成できます。作成後は、N-Administrator ユーザのみが Namespace 内のユーザを管理できる。Namespace でのキーの作成と使用は、Namespace が追加された後にのみ可能である。

注釈

ネームスペース ID は英数字でなければなりません。指定がない場合、NetHSM はランダムなユーザー ID を割り当てます。

ネームスペースは以下のように追加できる。

**論評

論証

説明

NAMESPACE` | 新しい名前空間。

**

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

名前空間の削除#

NetHSM からネームスペースを削除します。

Namespace を削除すると、その Namespace のすべてのキーも削除されます。Namespace に残っているユーザは、Namespace が再度追加されるまでキーを追加できません。

ネームスペースは次のようにして削除できる。

**論評

論証

説明

NAMESPACE`

削除する名前空間。

**

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

ユーザー向けタグ#

タグ は、鍵に対するきめ細かなアクセス制限を設定するために使用でき、オプ ション機能である。1つ以上の*タグ* 、Operator ロールを持つユーザーアカウントにのみ割り当てることができる。Operators はすべての鍵を見ることができるが、少なくとも1つの対応する*Tag* を持つ鍵のみを使用する。Operator ユーザーは、キーを変更できない。

タグ を鍵に使用する方法については、`鍵用タグ<operation#tags-for-keys>`__ をご参照ください。

タグ は以下のように追加できる。

**論評

論証

説明

USER_ID

タグを設定するユーザーID。

TAG

ユーザーIDに設定するタグ。

**

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

タグ*の削除は、以下のように行います。

**論評

論証

説明

USER_ID

タグを設定するユーザーID。

TAG

ユーザーIDに設定するタグ。

**

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443