Tags & Papéis#

As etiquetas podem ser usadas para colocar restrições de acesso em chaves específicas. Por exemplo, as tags podem ser usadas para colocar restrições de acesso a teclas específicas:

Usuário JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Chave mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

As etiquetas são geridas pelos utilizadores Administradores:

  • As chaves podem estar sujeitas a uma lista de restrições: um conjunto de tags nas quais uma delas precisa ser igualada para a chave a ser utilizada.

  • Os usuários do operador recebem um conjunto de tags que lhes permite o uso das teclas correspondentes. Pode ser lido mas não modificado pelo utilizador.

  • As restrições são validadas quando se utiliza uma chave, caso em que a etiqueta de utilizador definida tem de corresponder a uma das etiquetas do utilizador chamador’s.

  • Só os administradores podem definir etiquetas nos perfis dos utilizadores.

  • As etiquetas são cordas simples, e todos os administradores podem definir etiquetas sem restrições.

  • Cada operador pode ver todas as chaves, também aquelas com tags estrangeiras (mas eles podem’t usá-lo).

  • As etiquetas são opcionais.

  • (No futuro, as restrições poderão ser alargadas com mais tipos de condições, por exemplo, prazo permitido).

Papéis#

Cada conta de utilizador configurada no NetHSM tem uma das seguintes funções atribuídas. Segue-se uma descrição de alto nível das operações permitidas por funções individuais, para detalhes específicos do ponto final, consulte a documentação REST API.

R-Administrador Uma conta de utilizador com esta Função tem acesso a todas as operações fornecidas pela API REST, com excepção das operações de «utilização de chaves», ou seja, assinatura e desencriptação de mensagens.

R-Operador* Uma conta de utilizador com esta Função tem acesso a todas as operações de «utilização de chaves», um subconjunto de operações de «gestão de chaves» e operações de «gestão de utilizadores», permitindo apenas alterações à sua própria conta.

R-Metrics* Uma conta de utilizador com esta Função tem acesso apenas a operações só de leitura de métricas.

R-Backup* Uma conta de utilizador com esta Função tem acesso às operações necessárias para iniciar apenas uma cópia de segurança do sistema.