Taggar & roller#

Taggar kan användas för att sätta åtkomstbegränsningar på specifika nycklar. Till exempel:

Användare JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Nyckel mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Taggar hanteras av administratörsanvändare:

  • Nycklar kan omfattas av en begränsningslista: en uppsättning taggar där en av dem måste vara matchad för att nyckeln ska kunna användas.

  • Operatörsanvändare tilldelas en uppsättning taggar som gör att de kan använda motsvarande tangenter. Den kan läsas men inte ändras av användaren.

  • Begränsningar valideras när du använder en nyckel, i vilket fall den definierade användarmärkningen måste matcha en av den anropande användarens märkningar.

  • Endast administratörer kan ange taggar i användarprofiler.

  • Taggar är enkla strängar och alla administratörer kan ange taggar utan begränsningar.

  • Varje operatör kan se alla nycklar, även de med utländska taggar (men de kan inte använda dem).

  • Märken är valfria.

  • (I framtiden kan begränsningar utökas med fler villkorstyper, t.ex. tillåten tidsram.)

Roller#

Varje användarkonto som konfigureras på NetHSM har en av följande roller tilldelade. Nedan följer en beskrivning på hög nivå av de operationer som tillåts av enskilda roller, för slutpunktsspecifika detaljer hänvisas till REST API-dokumentationen.

R-Administrator Ett användarkonto med den här rollen har tillgång till alla åtgärder som tillhandahålls av REST API, med undantag för åtgärder för nyckelanvändning, dvs. signering och dekryptering av meddelanden.

R-Operator Ett användarkonto med den här rollen har tillgång till alla operationer för nyckelanvändning, en delmängd av operationer för nyckelhantering som är skrivskyddade och operationer för användarhantering som endast tillåter ändringar för det egna kontot.

R-Metrics Ett användarkonto med den här rollen har endast tillgång till skrivskyddade mätningar.

R-Backup Ett användarkonto med den här rollen har endast tillgång till de åtgärder som krävs för att initiera en systembackup.