标签& 角色#

标签可以用来给特定的键设置访问限制。比如说。

用户*JaneUser*:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

钥匙*我的钥匙*:。

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

标签是由管理员用户管理的。

  • 密钥可以受制于一个限制列表:一组标签,其中有一个标签需要被匹配才能使用。

  • 操作员用户被分配一套标签,使他们能够使用相应的键。用户可以阅读但不能修改。

  • 限制条件在使用钥匙时被验证,在这种情况下,定义的用户标签必须与调用用户的一个标签相匹配。

  • 只有管理员可以在用户档案中设置标签。

  • 标签是简单的字符串,所有管理员都可以无限制地设置标签。

  • 每个操作者都可以看到所有的键,也包括那些有外来标记的键(但他们不能使用它)。

  • 标签是可选的。

  • (在未来,可以用更多的条件类型来扩展限制,例如允许的时间范围)。

角色#

在NetHSM上配置的每个用户账户都有一个分配给它的下列角色。以下是各个角色所允许的操作的高级描述,关于终端的具体细节,请参考REST API文档。

R-Administrator 具有此角色的用户账户可以访问REST API提供的所有操作,但 “密钥使用 “操作除外,即消息签名和解密。

R-Operator 具有此角色的用户账户可以访问所有 “密钥使用 “操作,”密钥管理 “操作的只读子集,以及只允许对自己账户进行更改的 “用户管理 “操作。

R-Metrics 具有此角色的用户账户只能访问只读的度量衡操作。

R-Backup 具有此角色的用户账户只能访问启动系统备份所需的操作。