Etichete & Roluri#

Etichetele pot fi utilizate pentru a impune restricții de acces la anumite chei. De exemplu:

Utilizator JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Cheia mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Etichetele sunt gestionate de utilizatorii administratori:

  • Cheile pot face obiectul unei liste de restricții: un set de etichete în care una dintre ele trebuie să corespundă pentru ca cheia să poată fi utilizată.

  • Utilizatorilor operatorului li se atribuie un set de etichete care le permit să utilizeze tastele corespunzătoare. Acesta poate fi citit, dar nu și modificat de către utilizator.

  • Restricțiile sunt validate atunci când se utilizează o cheie, caz în care eticheta utilizatorului definită trebuie să se potrivească cu una dintre etichetele utilizatorului apelant.

  • Numai administratorii pot seta etichete în profilurile utilizatorilor.

  • Etichetele sunt simple șiruri de caractere, iar toți administratorii pot seta etichete fără restricții.

  • Fiecare operator poate vedea toate cheile, inclusiv pe cele cu etichete străine (dar nu le poate folosi).

  • Etichetele sunt opționale.

  • (În viitor, restricțiile ar putea fi extinse cu mai multe tipuri de condiții, de exemplu, un interval de timp permis).

Roluri#

Fiecărui cont de utilizator configurat pe NetHSM îi este atribuit unul dintre următoarele Roluri. În cele ce urmează este o descriere la nivel înalt a operațiunilor permise de Rolurile individuale; pentru detalii specifice punctelor finale, vă rugăm să consultați documentația API REST.

R-Administrator Un cont de utilizator cu acest rol are acces la toate operațiunile furnizate de API REST, cu excepția operațiunilor de „utilizare a cheilor”, adică semnarea și decriptarea mesajelor.

R-Operator Un cont de utilizator cu acest rol are acces la toate operațiunile de „utilizare a cheilor”, la un subset de operațiuni de „gestionare a cheilor” de numai citire și la operațiuni de „gestionare a utilizatorilor” care permit modificări numai pentru propriul cont.

R-Metrics Un cont de utilizator cu acest rol are acces numai la operațiunile de citire a măsurătorilor.

R-Backup Un cont de utilizator cu acest rol are acces numai la operațiunile necesare pentru a iniția o copie de rezervă a sistemului.