Znaczniki & Role#

Znaczniki można wykorzystać do ograniczenia dostępu do określonych kluczy. Na przykład:

Użytkownik JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Klucz mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Znaczniki są zarządzane przez użytkowników typu Administrator:

  • Klucze mogą podlegać liście ograniczeń: zestawowi znaczników, w którym jeden z nich musi być dopasowany, aby klucz mógł zostać użyty.

  • Użytkownicy operatora otrzymują zestaw znaczników, które umożliwiają im korzystanie z odpowiednich klawiszy. Użytkownik może je czytać, ale nie może ich modyfikować.

  • Ograniczenia są sprawdzane przy użyciu klucza, w którym to przypadku zdefiniowany znacznik użytkownika musi być zgodny z jednym ze znaczników użytkownika wywołującego.

  • Tylko administratorzy mogą ustawiać znaczniki w profilach użytkowników.

  • Znaczniki to proste ciągi znaków, a wszyscy administratorzy mogą je ustawiać bez ograniczeń.

  • Każdy operator może zobaczyć wszystkie klucze, także te z obcymi znacznikami (ale nie może ich używać).

  • Znaczniki są opcjonalne.

  • (W przyszłości ograniczenia można rozszerzyć o więcej typów warunków, np. dozwolone ramy czasowe).

Role#

Do każdego konta użytkownika skonfigurowanego na NetHSM przypisana jest jedna z poniższych ról. Poniżej przedstawiono ogólny opis operacji, które mogą być wykonywane w ramach poszczególnych ról. Szczegółowe informacje dotyczące poszczególnych punktów końcowych można znaleźć w dokumentacji interfejsu API REST.

R-Administrator Konto użytkownika z tą rolą ma dostęp do wszystkich operacji wykonywanych przez interfejs REST API, z wyjątkiem operacji „użycia klucza”, tj. podpisywania i odszyfrowywania wiadomości.

R-Operator Konto użytkownika z tą Rolą ma dostęp do wszystkich operacji „użycia kluczy”, podzbioru operacji „zarządzania kluczami” tylko do odczytu oraz operacji „zarządzania użytkownikami”, umożliwiających zmiany tylko na własnym koncie.

R-Metrics Konto użytkownika z tą Rolą ma dostęp tylko do operacji metrycznych w trybie odczytu.

R-Backup Konto użytkownika z tą rolą ma dostęp tylko do operacji wymaganych do zainicjowania tworzenia kopii zapasowej systemu.