管理部門¶
この章では、管理者 の役割を持つユーザーのための管理タスクについて説明します。役割の詳細については、章`役割<administration#roles>`__ を参照してください。
重要
作業を始める前に、`このドキュメントの冒頭にある情報<index.html>`__を必ず読んでください。
システム管理¶
デバイス情報¶
NetHSMのベンダー情報および製品情報は、以下の手順で取得することができます。
**例
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
/info エンドポイントに関する情報は、API documentation で見ることができます。
ブートモード¶
NetHSMは、*Attended Boot*モードと*Unattended Boot*モードで使用できます。
ブートモード |
説明 |
|---|---|
ブートに参加 |
NetHSM は _Locked_ 状態で起動します。Unlock Passphrase を起動時に入力する必要があります。このパスフレーズは*User Data* の復号化に使用されます。セキュリティ上の理由から、このモードが推奨され、プロビジョニングされたばかりのシステムのデフォルトモードです。 |
無人ブート |
システムは、Unlock Passphrase を入力する必要なく、_Operational_ 状態で無人起動します。Attended Boot モードで可用性要件を満たせない場合は、このモードを使用します。 |
警告
ブートモードに関係なく、Unlock Passphrase は有効性を保ち、他のハードウェアのバックアップを復元するために必要です。Unlock Passphrase は、いつでも安全に保管してください。
現在の起動モードは、次のように取得できます。
**例
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
/config/unattended-boot エンドポイントに関する情報は API documentation で見ることができます。
ブートモードは以下のように変更できます。次回のブート時には、NetHSMはそれに従って動作します。
**論評
論証 |
説明 |
|---|---|
ステータス |
無人起動*を有効または無効にします。値は |
**例
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
/config/unattended-boot エンドポイントに関する情報は API documentation で見ることができます。
状態¶
NetHSMソフトウェアには、4つの状態があります。Unprovisioned、Provisioned、Locked、*Operational*の4つの状態があります。
状態 |
説明 |
|---|---|
*非プロビジョニング |
NetHSM コンフィギュレーションなし(工場出荷時) |
*プロビジョニング |
NetHSMにコンフィグレーションを行った状態。Provisioned* 状態は、Operational または Locked 状態のいずれかを意味します。 |
*動作確認済み |
NetHSMが設定され、コマンドを実行する準備ができた状態。動作中 "の状態は、"プロビジョニング中 "の状態を意味します。 |
Locked |
NetHSM はコンフィギュレーションを持つが、暗号化され、データストアにアクセスできない。通常、次のステップはシステムのロックを解除することです。Locked 状態は*Provisioned* 状態を意味する。 |
NetHSMの現状と変遷¶
NetHSMの現在の状態は、以下のように取得できます。
/health/state エンドポイントに関する情報は、API documentation で見ることができます。
新しいNetHSMは、Unprovisioned(未プロビジョニング) の状態にあり、プロビジョニング後、Operational(運用中) の状態になります。NetHSM のプロビジョニングについては、`プロビジョニング<getting-started#provisioning>`__ の章で説明しています。
動作状態*にあるNetHSMは、以下のように再度ロックして保護することができます。
/lock エンドポイントに関する情報は API documentation で見ることができます。
ロック 状態の NetHSM は、以下の手順でロックを解除できます。NetHSMが_Locked_状態にある間は、他の操作はできません。その後、NetHSM は _Operational_ 状態になります。
/unlock エンドポイントに関する情報は、API documentation で見ることができます。
パスフレーズのロック解除¶
ロック解除パスフレーズ*は、NetHSMが*ロック*状態である場合、*ロック解除キー*を導き出すために使用されます。パスフレーズはNetHSMのプロビジョニング時に初期設定されます。
警告
ロック解除パスフレーズは、現在の値がわからないとリセットできません。ロック解除パスフレーズを紛失した場合、新しい値にリセットすることも、NetHSMのロックを解除することもできません。
ロック解除のパスフレーズ*は、次のように設定できます。
オプション設定
オプション |
説明 |
|---|---|
|
新しいロック解除用パスフレーズ |
|
現在のロック解除パスフレーズ |
-f`, ` .--force` |
パスフレーズを変更する前に確認を求めない。 |
**例
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
/config/unlock-passphrase エンドポイントに関する情報は、API documentation に記載されているとおりです。
TLS証明書¶
TLS証明書は、HTTPSベースのREST APIに使用されるため、*nitropy*でも使用されます。プロビジョニング時に、自己署名入りの証明書が作成されます。この証明書は、たとえば認証局(CA)からの署名付き証明書で置き換えることができます。この場合、証明書署名要求(CSR)を生成する必要があります。署名後、証明書をNetHSMにインポートする必要があります。
変更は、証明書を置き換える場合にのみ必要である。そのような変更は、認証局(CA)からの署名された証明書に置き換えることである。
TLS証明書は、次のようにして取得することができます。
必須オプション
オプション |
説明 |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
**例
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
/config/tls/cert.pem エンドポイントに関する情報は API documentation で見ることができます。
TLS証明書は、以下の手順で生成することができます。
必須オプション
オプション |
説明 |
|---|---|
|
生成された鍵のタイプ |
|
生成された鍵の長さ |
**例
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
/config/tls/generate エンドポイントに関する情報は、API documentation に記載されています。
証明書のCSR(Certificate Signing Request)は、以下の手順で生成することができます。
必須オプション
オプション |
説明 |
|---|---|
|
NetHSM TLS証明書のCSRを生成する |
|
国名 |
|
州・県名 |
|
産地名 |
|
組織名 |
|
組織単位名 |
|
一般名称 |
|
電子メールアドレス |
**例
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
/config/tls/csr.pem エンドポイントに関する情報は API documentation で見ることができます。
証明書の差し替えは、以下のように行います。
必須オプション
オプション |
説明 |
|---|---|
|
NetHSM TLSインターフェイスの証明書を設定する |
**論評
論証 |
説明 |
|---|---|
|
証明書ファイル |
**例
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
/config/tls/csr.pem エンドポイントに関する情報は API documentation で見ることができます。
ネットワーク¶
ネットワークコンフィギュレーションは、*ネットワークポート*に使用する設定を定義します。
注釈
This settings do not configure the BMC Network Port on the NetHSM 1.
ネットワーク構成は、次のように取得できます。
必須オプション
オプション |
説明 |
|---|---|
|
ネットワーク構成を問い合わせる |
**例
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
/config/network エンドポイントに関する情報は API documentation で見ることができます。
ネットワーク構成を次のように設定します。
注釈
NetHSMは、DHCP(Dynamic Host Configuration Protocol)に対応していません。
注釈
NetHSMは、IPv6(インターネットプロトコルバージョン6)には対応していません。
必須オプション
オプション |
説明 |
|---|---|
|
新しいIPアドレス |
|
新しいネットマスク |
|
新しいゲートウェイ |
**例
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
/config/network エンドポイントに関する情報は API documentation で見ることができます。
時間¶
タイムコンフィギュレーションは、NetHSMソフトウェアのシステム時刻を設定します。システム時刻はプロビジョニング時に設定されるため、通常は設定する必要はありません。
タイムコンフィギュレーションは以下のように取得できます。
必須オプション
オプション |
説明 |
|---|---|
|
システム時刻を問い合わせる |
**例
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
/config/time エンドポイントに関する情報は API documentation で見ることができます。
NetHSMの時刻を設定します。
重要
時刻は必ずUTCタイムゾーンで渡してください。
**論評
論証 |
説明 |
|---|---|
|
設定するシステム時刻(形式:YYYY-MM-DDTHH:MM:SSZ) |
**例
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
/config/time エンドポイントに関する情報は API documentation で見ることができます。
指標¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
メトリクスは、以下のように取得できます。
必須項目
This operation requires an authentication with the Metrics role.
**例
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
/metrics エンドポイントに関する情報は API documentation で見ることができます。
ロギング¶
NetHSMは、システムイベントをシリアルポートまたはネットワーク上のsyslogサーバーに記録することができます。
重要
本番環境では、NetHSMログを継続的に監視して、潜在的なセキュリティ問題を即座に通知する必要があります。
syslogサーバーの設定は、以下のように取得することができます。
必須オプション
オプション |
説明 |
|---|---|
|
ロギング設定を問い合わせる |
**例
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
/config/logging エンドポイントに関する情報は API documentation で見ることができます。
syslogサーバーの設定は、以下のように行います。
必須オプション
オプション |
説明 |
|---|---|
|
新しいロギング先のIPアドレス |
|
新しいロギング先のポート |
|
新しいログレベル |
**例
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
/config/logging エンドポイントに関する情報は API documentation で見ることができます。
シリアルコンソールは、NetHSMハードウェアの起動直後から動作します。NetHSMファームウェアとNetHSMソフトウェアからのイベントも含まれます。
シリアルコンソールの接続設定は、以下の通りです。
設定 |
価値 |
|---|---|
ボーレート |
115200 |
データビット |
8 |
ストップビット |
1 |
パリティ |
なし |
フロー制御 |
なし |
バックアップ¶
NetHSMの*ユーザーデータ*は、バックアップファイルに保存することができます。このバックアップファイルには、すべての*ユーザーデータ*、すなわち*コンフィグレーションストア*、認証ストア、ドメインキーストア、および*キーストア*が含まれています。
重要
Unattended Boot モードの NetHSM システムソフトウェアは、異なる NetHSM ハードウェアにリストアする場合、Unlock Passphrase が必要になります。詳しくは、`Unlock Passphrase<administration#unlock-passphrase>`__の章を参照してください。
重要
無人起動*モードのNetHSMは、リストア後も同じモードとなります。
バックアップを開始する前に、Backup Passphrase を設定する必要があります。バックアップパスフレーズ*は、バックアップファイルのデータを暗号化するために使用されます。
警告
バックアップパスフレーズは、現在の値を知らなければリセットできません。バックアップパスフレーズが失われた場合、新しい値にリセットすることも、作成したバックアップを復元することもできません。
バックアップパスフレーズは、以下のように設定できます。
オプション設定
オプション |
説明 |
|---|---|
|
新しいバックアップのパスフレーズ |
|
現在のバックアップパスフレーズ(設定されていない場合は空文字列) |
-f`, ` .--force` |
パスフレーズを変更する前に確認を求めない。 |
**例
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
/config/backup-passphrase エンドポイントに関する情報は、API documentation に記載されています。
バックアップは次のように実行できます。
必須項目
This operation requires an authentication with the Backup role.
**論評
論証 |
説明 |
|---|---|
|
バックアップファイル |
**例
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
/system/backup エンドポイントに関する情報は、API documentation に記載されています。
リストア¶
NetHSMは、バックアップファイルから復元することができます。
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
NetHSM が*Provisioned* の場合、ユーザーとユーザーキーはリストアされますが、システム構成はリストアされません。この場合、既存のユーザーとユーザーキーはすべて削除されます。NetHSM は*運用中* の状態で終了します。
復元は、以下のように適用できます。
オプション設定
オプション |
説明 |
|---|---|
|
バックアップパスフレーズ*について |
|
設定するシステム時刻(書式: |
重要
ローカルコンピュータの時刻が正しく設定されていることを確認してください。別の時刻を設定する場合は、手動で指定してください。
**論評
論証 |
説明 |
|
|---|---|---|
``FILENAME``| ファイルをリストアする |
||
**例
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
/system/restore エンドポイントに関する情報は API documentation で見ることができます。
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
ソフトウェア・アップデート¶
ソフトウェアアップデートは、2 段階のプロセスでインストールできます。まず、Provisioned NetHSM にアップデートイメージをアップロードする必要があります。NetHSM は、イメージの信頼性、完全性、およびバージョン番号を検証します。オプションで、NetHSM はリリースノートがあれば表示します。
警告
ベータ版アップデートのインストールにより、データ損失が発生する可能性があります!安定版ではデータ損失は発生しません。しかし、アップデートの前にバックアップを作成することをお勧めします。
警告
お使いのハードウェアモデル NetHSM 1 または NetHSM 2 の正しいアップデートファイルをインストールしてください。お使いのモデルは、`システム情報<administration#system-information>`__ でご確認いただけます。
アップデートファイルのアップロードは、以下の手順で行います。
**論評
論証 |
説明 |
|---|---|
|
アップデートファイル |
**例
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
/system/update エンドポイントに関する情報は API documentation で見ることができます。
その後、アップデートを適用または中止することができます。以下のオプションを参照してください。コミット "操作の前にNetHSMの電源を落とした場合、アップデートファイルを再度アップロードする必要があります。
重要
Error: NetHSM request failed: Bad request -- malformed image でアップロードに失敗した場合は、以下の手順に従ってください。
提供された署名でチェックし、有効な更新ファイルがあることを確認してください。
``DEBUG``のような高いログレベルが有効になっていないことを確認してください。ログ・レベルの設定については、`ログ<https://docs.nitrokey.com/nethsm/administration#logging>`__ の章を参照してください。
アプライアンスを再起動して、使用済みメモリを解放します。
アップデートの適用(コミット)は次のように行います。データ移行は、* NetHSM が新しいシステムソフトウェアバージョンのブートに成功した後、*のみ実行されます。
**例
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
/system/commit-update エンドポイントに関する情報は API documentation で見ることができます。
アップデートの取り消しは、以下の手順で行えます。
**例
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
/system/cancel-update エンドポイントに関する情報は API documentation で見ることができます。
システム情報¶
ファームウェアのバージョン、ソフトウェアのバージョン、ハードウェアのバージョンなどのシステム情報は、以下のようにして取得することができる。
**例
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
/system/info エンドポイントに関する情報は `API documentation<https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/get_system_info>`__ に記載されている。
NetHSM 1 のハードウェアバージョンは*prodrive-hermes-1* で、NetHSM 2 は*msi-z790-1* です。
リブートとシャットダウン¶
NetHSMの再起動とシャットダウンは、リモートで行うか、NetHSMハードウェアの前面にある再起動と電源オフボタンで行うことができます。
リモートリブートは、以下の手順で開始することができます。
**例
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
/system/reboot エンドポイントに関する情報は API documentation で見ることができます。
リモートシャットダウンは、以下の手順で開始することができます。
**例
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
/system/shutdown エンドポイントに関する情報は API documentation で見ることができます。
工場出荷時の状態に戻す¶
プロビジョニング済み NetHSM は、工場出荷時のデフォルトにリセットできます。この場合、すべてのユーザーデータは安全に削除され、 NetHSM は*Unprovisioned* の状態で起動します。その後、` <getting-started#provisioning>` __ NetHSM をプロビジョニングすることができます。
工場出荷時へのリセットは、以下の手順で行うことができます。
**例
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
/system/factory-reset エンドポイントに関する情報は API documentation で見ることができます。
ユーザー管理¶
役割¶
NetHSMでは、異なるロールを使用することにより、職務の分離が可能です。NetHSMに設定された各ユーザーアカウントには、以下の*ロール*のいずれかが割り当てられています。
役割 |
説明 |
|---|---|
アドミニストレーター |
この役割を持つユーザーアカウントは、鍵の使用操作(メッセージの署名と復号化)を除き、NetHSMが提供するすべての操作にアクセスすることができます。 |
*オペレーター |
この役割を持つユーザーアカウントは、すべての鍵使用操作、鍵管理操作の読み取り専用サブセット、およびユーザー管理操作にアクセスし、自分のアカウントにのみ変更を許可します。 |
Metrics |
この役割を持つユーザー・アカウントは、読み取り専用のメトリックス操作にのみアクセスできる。 |
Backup |
この役割を持つユーザーアカウントは、システムバックアップを開始するために必要な操作にのみアクセスすることができます。 |
より細かいアクセス制限については、`名前空間<administration#namespaces>`__ と`タグ<administration#tags-for-users>`__ を参照してください。
注釈
将来のリリースでは、追加のロール*が導入される可能性があります。
ユーザーを追加する¶
NetHSM にユーザーアカウントを追加します。各ユーザーアカウントには*役割* があり、これを指定する必要があります。役割 について詳しくは、`役割<administration#roles>`__ の章を参照してください。
Optionally, a user can be assigned to a Namespace.
注釈
ユーザー ID は英数字でなければなりません。ユーザーIDが指定されていない場合、NetHSMはランダムなユーザーIDを割り当てます。
ユーザーアカウントは、以下の手順で追加することができます。
必須オプション
オプション |
説明 |
|---|---|
|
新規ユーザーの本名 |
|
新しいユーザーの名前空間 |
|
新規ユーザーの 役割 を指定します。 |
|
新規ユーザーのパスフレーズ |
オプション設定
オプション |
説明 |
|---|---|
|
新規ユーザーのユーザーID |
**例
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
ユーザーIDを指定せずにユーザーを作成するための`/users` エンドポイントに関する情報は、API documentation で見ることができます。
ユーザーIDを指定してユーザーを作成するための`/users/{UserID}` エンドポイントに関する情報は、API documentation で見ることができます。
デフォルトでは、Namespaceは新規ユーザーを追加したユーザーから継承されます。Namespaceを持たないユーザーだけが、新しいユーザーに別のNamespaceを選択することができます。Namespaceは`namespace~user`のようにユーザー名のプレフィックスとして使用されます。したがって、同じユーザー名を複数のNamespaceで使用することができます。
ユーザー削除¶
NetHSMからユーザーアカウントを削除します。
警告
削除は永久的なものであり、元に戻すことはできません。
ユーザーアカウントの削除は、次の手順で行います。
**論評
論証 |
説明 |
|---|---|
|
ユーザーのId。 |
**例
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
/users/{UserID} エンドポイントに関する情報は、API documentation で見ることができます。
リストユーザー¶
NetHSMのユーザーをリストアップします。
このリストは、次のようにして取得することができます。
オプション設定
オプション |
説明 |
|---|---|
|
ユーザーの実名とロールを問い合わせる |
**例
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
/users エンドポイントに関する情報は、API documentation で見ることができます。
/users/{UserID} エンドポイントに関する情報は、API documentation で見ることができます。
Namespace内のユーザは、同じNamespace内のユーザしか見ることができません。
ユーザーパスフレーズ¶
ユーザーアカウントのパスフレーズを再設定することができます。パスフレーズは、ユーザーアカウントを追加する際に初期設定されます。
注釈
パスフレーズは10文字以上200文字以下である必要があります。
ユーザーパスフレーズは、次のように設定できます。
必須オプション
**例
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
/users/{UserID}/passphrase エンドポイントに関する情報は、API documentation で見ることができます。
名前空間¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Namespaces 、ソフトウェアのバージョン2.0から導入された。それ以前のバージョンから移行する場合、既存のユーザーとキーはすべてNamespaceなしとなる。
管理者 `役割<administration#roles>`__ を持つユーザーは、ネームスペースにいない場合は*R-管理者* とも呼ばれ、ネームスペースにいる場合は*N-管理者* とも呼ばれる。
R-Administrator ユーザーには特別なルールが適用されます:新規ユーザーのネームスペースの設定、全ユーザーの一覧表示、ユーザーのネームスペー スの照会が可能です。また、NetHSM の設定にアクセスできるのは、R-Administrator ユーザーのみです。 R-Administrator はネームスペース内のキーを見ることはできません。
Namespace でキーとユーザーを生成するには、R-Administrator ユーザーによって Namespace を作成する必要がある。いったん Namespace が作成されると、R-Administrator ユーザーは、その Namespace 内でユーザーを作成、削除、変更することができなくなる。 これにより、R-Administrator によってアクセスされる Namespace のキーを保護することができます(新しいユーザーを代理で追加したり、既存のユーザーや管理者の資格情報をリセットしたりすることで、間接的に保護することもできます)。したがって、Namespace を作成する前に、Namespace 用に*N-Administrator* ユーザーを作成する必要があります。R-Administrator ユーザーは、Namespace と含まれるすべてのキーを削除することもできる。
名前空間の一覧¶
NetHSMのネームスペースをリストアップします。
このリストは、次のようにして取得することができます。
**例
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
`/namespaces`エンドポイントに関する情報は、`API documentation<https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_namespaces>`__に記載されている。
名前空間の追加¶
NetHSMに名前空間を追加します。
R-Administrator ユーザーは、ネームスペースが作成される前に、ネームスペースに新しいア カウントを作成できます。作成後は、N-Administrator ユーザのみが Namespace 内のユーザを管理できる。Namespace でのキーの作成と使用は、Namespace が追加された後にのみ可能である。
注釈
ネームスペース ID は英数字でなければなりません。指定がない場合、NetHSM はランダムなユーザー ID を割り当てます。
ネームスペースは以下のように追加できる。
**論評
論証 |
説明 |
|
|---|---|---|
NAMESPACE` | 新しい名前空間。 |
||
**例
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
/namespaces/{NamespaceID} エンドポイントに関する情報は `API documentation<https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/PUT_namespaces-NamespaceID>`__ に記載されている。
名前空間の削除¶
NetHSM からネームスペースを削除します。
Namespace を削除すると、その Namespace のすべてのキーも削除されます。Namespace に残っているユーザは、Namespace が再度追加されるまでキーを追加できません。
ネームスペースは次のようにして削除できる。
**論評
論証 |
説明 |
|---|---|
NAMESPACE` |
削除する名前空間。 |
**例
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
/namespaces/{NamespaceID} エンドポイントに関する情報は `API documentation<https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/DELETE_namespaces-NamespaceID>`__ に記載されている。