Birkas & amp; lomas#

Var izmantot birkas, lai noteiktu piekļuves ierobežojumus konkrētām atslēgām. Piemēram:

Lietotājs JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Atslēga mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Tags pārvalda lietotāji administratori:

  • Uz atslēgām var attiekties ierobežojumu saraksts: tagu kopums, kurā, lai atslēgu varētu izmantot, ir jāatbilst vienam no tiem.

  • Operatora lietotājiem tiek piešķirts tagu komplekts, kas ļauj izmantot atbilstošos taustiņus. Lietotājs tos var lasīt, bet nevar mainīt.

  • Ierobežojumi tiek apstiprināti, ja tiek izmantota atslēga, un tādā gadījumā definētajam lietotāja tagam ir jāatbilst vienam no izsaucošā lietotāja tagiem.

  • Lietotāju profilos tagus var iestatīt tikai administratori.

  • Tags ir vienkāršas virknes, un visi administratori var iestatīt tagus bez ierobežojumiem.

  • Katrs operators var redzēt visas atslēgas, arī tās, kurām ir svešas birkas (bet tās nevar izmantot).

  • Birkas nav obligātas.

  • (Nākotnē ierobežojumus varētu papildināt ar vairākiem nosacījumu veidiem, piemēram, atļauto laika periodu.)

Lomas#

Katram NetHSM konfigurētajam lietotāja kontam ir piešķirta viena no šādām lomām. Turpmāk ir sniegts atsevišķu lomu atļauto darbību augsta līmeņa apraksts, bet sīkāku informāciju par konkrētiem galapunktiem skatīt REST API dokumentācijā.

R-Administrator Lietotāja kontam ar šo lomu ir piekļuve visām REST API nodrošinātajām operācijām, izņemot „atslēgu lietošanas“ operācijas, t. i., ziņojumu parakstīšanu un atšifrēšanu.

R-Operator Lietotāja kontam ar šo lomu ir piekļuve visām „atslēgu lietošanas“ operācijām, „atslēgu pārvaldības“ operāciju apakškopai, kas paredzēta tikai lasīšanai, un „lietotāju pārvaldības“ operācijām, kas ļauj veikt izmaiņas tikai savā kontā.

R-Metrics Lietotāja kontam ar šo lomu ir piekļuve tikai nolasīšanas operācijām.

R-Backup Lietotāja kontam ar šo lomu ir piekļuve tikai tām operācijām, kas nepieciešamas, lai uzsāktu sistēmas dublējumu.