IBM Cloud Docs
Roles de IBM Cloud Hardware Security Module

Roles de IBM Cloud Hardware Security Module

En las secciones siguientes se describen los roles que acceden a IBM Cloud® Hardware Security Module (HSM) y al motor criptográfico dentro o conectado al host.

Roles obligatorios

Los roles siguientes son obligatorios si desea acceder al IBM Cloud® HSM.

  • HSM Security Officer (SO) es responsable de la inicialización del HSM, de establecer y cambiar las políticas de HSM y de crear o suprimir particiones de aplicación.
  • Partition Security Officer (PO) es responsable de inicializar el rol de Crypto Officer en la partición, de restablecer las contraseñas y de establecer y cambiar las políticas de nivel de partición.
  • Crypto Officer (CO) es responsable de inicializar el rol de usuario criptográfico y de crear y modificar objetos criptográficos en la partición de HSM.

Roles opcionales

Los roles siguientes son opcionales si desea acceder al IBM Cloud® HSM.

  • El auditor (Au) es responsable de gestionar el registro de auditoría de HSM, independientemente de otros roles en el HSM
  • El usuario criptográfico (CU) es responsable de utilizar objetos criptográficos (cifrar, descifrar, firmar, verificar y más) en la partición de HSM

Modelo Cryptoki mejorado

La separación de roles de SafeNet Luna Network HSM sigue un modelo Cryptoki mejorado para los siguientes roles:

Agente de seguridad (SO) de HSM

El SO de HSM tiene el control del HSM dentro del dispositivo SafeNet Luna Network HSM. Para acceder a las funciones del SO de HSM, primero debe iniciar la sesión como admin de dispositivo.

Además de todas las demás funciones del dispositivo, un usuario que se autentica con la credencial de SO de HSM puede realizar las acciones siguientes:

  • Crear y suprimir particiones
  • Hacer copia de seguridad y restaurar el HSM
  • Cambiar políticas de HSM

Agente de seguridad de la partición (PO)

El Agente de seguridad de la partición tiene el control de una o varias particiones (HSM virtuales) dentro de dispositivo SafeNet Luna Network HSM. Para acceder a las funciones del SO de partición, debe iniciar sesión utilizando el programa de utilidad LunaCM en un sistema cliente registrado. El SO de la partición, cuando haya iniciado la sesión en la partición, puede realizar las acciones siguientes:

  • Modificar políticas de partición
  • Hacer copia de seguridad y restaurar el contenido de la partición
  • Inicializar el rol de Agente de criptografía

Agente de criptografía (CO)

El responsable de cifrado tiene acceso completo de lectura/escritura a la partición a través del programa de utilidad LunaCM en un sistema cliente registrado. La credencial de partición del responsable de cifrado permite a una aplicación cliente realizar cualquier operación criptográfica, incluidas las operaciones siguientes:

  • Crear y suprimir claves
  • Envolver y desenvolver
  • Cifrar y descifrar
  • Firmar y verificar
  • El Agente de criptografía también puede inicializar el rol opcional Usuario de criptografía.

Usuario de criptografía (CU)

El usuario de cifrado es un usuario de cliente de sólo lectura restringido. Después de la inicialización, el usuario de cifrado autenticado puede acceder a los materiales criptográficos que existen en la partición, pero no puede manipular esos objetos.

El rol Usuario de criptografía es opcional. Si no tiene un requisito de seguridad para este rol, el rol de UC puede permanecer sin inicializar y todas las aplicaciones cliente pueden acceder a la partición utilizando la credencial de Crypto Officer.