Značky & Role#

Značky možno použiť na obmedzenie prístupu k určitým kľúčom. Napríklad:

Používateľ JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Kľúč mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Značky spravujú používatelia správcu:

  • Kľúče môžu podliehať zoznamu obmedzení: súboru značiek, v ktorom musí byť jedna z nich zhodná, aby sa kľúč mohol použiť.

  • Používatelia operátorov dostanú pridelený súbor značiek, ktoré im umožňujú používať príslušné klávesy. Používateľ ich môže čítať, ale nemôže ich upravovať.

  • Obmedzenia sa overujú pri použití kľúča, pričom v takom prípade sa definovaná používateľská značka musí zhodovať s jednou zo značiek volajúceho používateľa.

  • Značky v profiloch používateľov môžu nastavovať iba správcovia.

  • Značky sú jednoduché reťazce a všetci správcovia môžu nastavovať značky bez obmedzenia.

  • Každý operátor vidí všetky kľúče, aj tie s cudzími značkami (ale nemôže ich použiť).

  • Značky sú voliteľné.

  • (V budúcnosti by sa obmedzenia mohli rozšíriť o ďalšie typy podmienok, napr. povolený časový rámec.)

Úlohy#

Každému používateľskému kontu nakonfigurovanému v NetHSM je priradená jedna z nasledujúcich rolí. Nasleduje stručný opis operácií povolených jednotlivými rolami, podrobnosti týkajúce sa koncového bodu nájdete v dokumentácii REST API.

R-Administrator Používateľský účet s touto rolou má prístup ku všetkým operáciám poskytovaným rozhraním REST API s výnimkou operácií „používania kľúčov“, t. j. podpisovania a dešifrovania správ.

R-Operator Používateľský účet s touto rolou má prístup ku všetkým operáciám „používania kľúčov“, podmnožine operácií „správy kľúčov“ len na čítanie a operáciám „správy používateľov“, ktoré umožňujú zmeny len v jeho vlastnom účte.

R-Metrics Používateľské konto s touto rolou má prístup len k operáciám s metrikami určenými na čítanie.

R-Backup Používateľské konto s touto rolou má prístup len k operáciám potrebným na spustenie zálohovania systému.