Теги & Роли#

Теги можно использовать для наложения ограничений доступа на определенные ключи. Например:

Пользователь JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Ключ mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Теги управляются пользователями-администраторами:

  • Ключи могут быть подвержены списку ограничений: набору тегов, один из которых должен совпадать с другим, чтобы ключ мог быть использован.

  • Пользователи-операторы получают набор тегов, позволяющих им использовать соответствующие ключи. Он может быть прочитан, но не изменен пользователем.

  • Ограничения проверяются при использовании ключа, в этом случае определенный тег пользователя должен совпадать с одним из тегов вызывающего пользователя“.

  • Только администраторы могут устанавливать теги в профилях пользователей.

  • Теги - это простые строки, и все администраторы могут устанавливать теги без ограничений.

  • Каждый оператор может видеть все ключи, в том числе и те, которые имеют посторонние метки (но они не могут’использовать их).

  • Метки необязательны.

  • (В будущем ограничения могут быть расширены за счет дополнительных типов условий, например, разрешенных сроков).

Роли#

Каждой учетной записи пользователя, настроенной на NetHSM, назначается одна из следующих Ролей. Ниже приведено высокоуровневое описание операций, разрешенных отдельными ролями, а подробности, относящиеся к конкретной конечной точке, см. в документации REST API.

R-Administrator: Учетная запись пользователя с этой ролью имеет доступ ко всем операциям, предоставляемым REST API, за исключением операций использования ключей, т.е. подписания и расшифровки сообщений.

R-Operator: Учетная запись пользователя с этой ролью имеет доступ ко всем операциям использования ключей, подмножеству операций управления ключами только для чтения и операциям управления пользователями, позволяющим вносить изменения только для своей учетной записи.

R-Metrics: Учетная запись пользователя с этой ролью имеет доступ только к операциям с метриками только для чтения.

R-Backup: Учетная запись пользователя с этой ролью имеет доступ только к операциям, необходимым для инициирования резервного копирования системы.