タグ&ロール#

タグは、特定のキーにアクセス制限をかけるために使用することができます。例えば

ユーザー JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

キー mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

タグは、Administrator(管理者)ユーザーによって管理されます。

  • 鍵は、制限リストに従うことができます。これは、鍵が使用されるために、それらのうちの1つが一致する必要があるタグのセットです。

  • オペレーターのユーザーには、対応するキーの使用を可能にするタグのセットが割り当てられます。タグは読むことはできますが、変更することはできません。

  • この場合、定義されたユーザータグは、呼び出し元のユーザーのタグの1つと一致しなければなりません。

  • ユーザープロファイルにタグを設定できるのは、管理者のみです。

  • タグは単純な文字列で、すべての管理者が無制限に設定できます。

  • すべてのオペレータはすべてのキーを見ることができ、外部タグを持つキーも見ることができます(ただし、それを使うことはできません)。

  • タグはオプションです。

  • (将来的には、許容される時間帯などの条件を追加して制限を拡張することが可能である)。

役割#

NetHSMに設定された各ユーザーアカウントには、以下のロールのいずれかが割り当てられています。以下は、個々のロールが許可する操作のハイレベルな説明です。エンドポイント固有の詳細については、REST APIのドキュメントを参照してください。

**R-Administrator**は、REST APIで提供されるすべての操作にアクセスできますが、「鍵の使用」操作(メッセージの署名と復号化)は例外となります。

R-オペレーター この役割を持つユーザーアカウントは、すべての「鍵使用」操作、「鍵管理」操作の読み取り専用サブセット、「ユーザー管理」操作へのアクセスを持ち、自分のアカウントへの変更のみが可能である。

R-Metrics この役割を持つユーザーアカウントは、読み取り専用のメトリクス操作にのみアクセスすることができます。

R-バックアップ この役割を持つユーザーアカウントは、システムバックアップを開始するために必要な操作にのみアクセスすることができます。