Tags & Rollen#

Tags kunnen worden gebruikt om toegangsbeperkingen op te leggen aan specifieke sleutels. Bijvoorbeeld:

Gebruiker JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Tags worden beheerd door Administrator gebruikers:

  • Sleutels kunnen worden onderworpen aan een beperkingslijst: een reeks tags waarin één van de tags moet overeenstemmen opdat de sleutel kan worden gebruikt.

  • Operator-gebruikers krijgen een set tags toegewezen waarmee zij de corresponderende toetsen kunnen gebruiken. Deze kunnen door de gebruiker worden gelezen maar niet gewijzigd.

  • Beperkingen worden gevalideerd bij gebruik van een sleutel, in welk geval de gedefinieerde gebruiker-tag moet overeenkomen met een van de aanroepende gebruiker’s tags.

  • Alleen beheerders kunnen tags instellen in gebruikersprofielen.

  • Tags zijn eenvoudige tekenreeksen, en alle beheerders kunnen tags instellen zonder beperkingen.

  • Elke operator kan alle sleutels zien, ook die met vreemde tags (maar ze kunnen’ze niet gebruiken).

  • Tags zijn optioneel.

  • (In de toekomst kunnen de beperkingen worden uitgebreid met meer soorten voorwaarden, bv. toegestane tijdsduur).

Rollen#

Elke gebruikersaccount die op de NetHSM is geconfigureerd, heeft een van de volgende rollen toegewezen gekregen. Hieronder volgt een beschrijving op hoog niveau van de operaties die zijn toegestaan door individuele Rollen, voor eindpunt-specifieke details wordt verwezen naar de REST API documentatie.

R-Administrator: Een gebruikersaccount met deze rol heeft toegang tot alle operaties die door de REST API worden aangeboden, met uitzondering van de operaties voor het gebruik van sleutels, d.w.z. ondertekening en ontcijfering van berichten.

R-Operator: Een gebruikersaccount met deze rol heeft toegang tot alle sleutelgebruikoperaties, een alleen-lezen subset van sleutelbeheeroperaties en gebruikersbeheeroperaties die alleen wijzigingen voor hun eigen account toestaan.

R-Metrics: Een gebruikersaccount met deze rol heeft alleen toegang tot read-only metrics operaties.

R-Backup: Een gebruikersaccount met deze rol heeft alleen toegang tot de handelingen die nodig zijn om een systeembackup te starten.