Теги & Роли#
Теги можно использовать для наложения ограничений доступа на определенные ключи. Например:
Пользователь JaneUser:
{
"realName": "Jane User",
"role": "Operator"
"tags": [ "berlin" , "frankfurt" ]
}
Ключ mykey:
{
"mechanisms": [
"RSA_Signature_PSS_SHA256"
],
"restrictions": {
"userTag": "berlin"
}
"type": "RSA",
"key": {
"modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
"publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
},
"operations": 242
}
Теги управляются пользователями-администраторами:
Ключи могут быть подвержены списку ограничений: набору тегов, один из которых должен совпадать с другим, чтобы ключ мог быть использован.
Пользователи-операторы получают набор тегов, позволяющих им использовать соответствующие ключи. Он может быть прочитан, но не изменен пользователем.
Ограничения проверяются при использовании ключа, в этом случае определенный тег пользователя должен совпадать с одним из тегов вызывающего пользователя“.
Только администраторы могут устанавливать теги в профилях пользователей.
Теги - это простые строки, и все администраторы могут устанавливать теги без ограничений.
Каждый оператор может видеть все ключи, в том числе и те, которые имеют посторонние метки (но они не могут’использовать их).
Метки необязательны.
(В будущем ограничения могут быть расширены за счет дополнительных типов условий, например, разрешенных сроков).
Роли#
Каждой учетной записи пользователя, настроенной на NetHSM, назначается одна из следующих Ролей. Ниже приведено высокоуровневое описание операций, разрешенных отдельными ролями, а подробности, относящиеся к конкретной конечной точке, см. в документации REST API.
R-Administrator: Учетная запись пользователя с этой ролью имеет доступ ко всем операциям, предоставляемым REST API, за исключением операций использования ключей, т.е. подписания и расшифровки сообщений.
R-Operator: Учетная запись пользователя с этой ролью имеет доступ ко всем операциям использования ключей, подмножеству операций управления ключами только для чтения и операциям управления пользователями, позволяющим вносить изменения только для своей учетной записи.
R-Metrics: Учетная запись пользователя с этой ролью имеет доступ только к операциям с метриками только для чтения.
R-Backup: Учетная запись пользователя с этой ролью имеет доступ только к операциям, необходимым для инициирования резервного копирования системы.