Oznake & amp; Vloge#

Z oznakami lahko omejite dostop do določenih ključev. Na primer:

Uporabnik JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Ključ mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Oznake upravljajo uporabniki administratorji:

  • Za ključe lahko velja seznam omejitev: niz oznak, pri katerih mora biti ena od njih skladna, da se lahko ključ uporabi.

  • Uporabnikom operaterjev je dodeljen niz oznak, ki jim omogočajo uporabo ustreznih tipk. Uporabnik jih lahko bere, vendar jih ne more spreminjati.

  • Omejitve se potrdijo pri uporabi ključa, pri čemer se mora določena uporabniška oznaka ujemati z eno od oznak kličočega uporabnika.

  • Oznake v uporabniških profilih lahko nastavijo samo skrbniki.

  • Oznake so preprosti nizi in vsi skrbniki lahko nastavijo oznake brez omejitev.

  • Vsak operater lahko vidi vse ključe, tudi tiste s tujimi oznakami (vendar jih ne more uporabiti).

  • Oznake niso obvezne.

  • (V prihodnosti bi lahko omejitve razširili z več vrstami pogojev, npr. z dovoljenim časovnim okvirom.)

Vloge#

Vsakemu uporabniškemu računu, konfiguriranemu v NetHSM, je dodeljena ena od naslednjih vlog. V nadaljevanju je opis operacij, ki jih omogočajo posamezne vloge, za podrobnosti, specifične za končno točko, pa glejte dokumentacijo API REST.

R-Administrator Uporabniški račun s to vlogo ima dostop do vseh operacij, ki jih zagotavlja API REST, razen operacij „uporabe ključa“, tj. podpisovanja in dešifriranja sporočil.

R-Operator Uporabniški račun s to vlogo ima dostop do vseh operacij „uporaba ključev“, podmnožice operacij „upravljanje ključev“ samo za branje in operacij „upravljanje uporabnikov“, ki omogočajo spremembe samo za lastni račun.

R-Metrics Uporabniški račun s to vlogo ima dostop samo do operacij metrik za branje.

R-Backup Uporabniški račun s to vlogo ima dostop samo do operacij, potrebnih za začetek varnostnega kopiranja sistema.