IBM Cloud Hardware Security Module Rôles
Les sections suivantes décrivent les rôles qui accèdent au module IBM Cloud® Hardware Security Module (HSM) et au moteur cryptographique dans ou connectés à l'hôte.
Rôles obligatoires
Les rôles ci-dessous sont obligatoires pour accéder à IBM Cloud® HSM.
- Le responsable de la sécurité HSM (SO) est responsable de l'initialisation du HSM, de la définition et de la modification des règles HSM, ainsi que de la création ou de la suppression de partitions d'application.
- Le responsable de la sécurité de la partition (PO) est responsable de l'initialisation du rôle de responsable de la cryptographie sur la partition, de la réinitialisation des mots de passe et de la définition et de la modification des règles au niveau de la partition.
- Crypto Officer (CO) est responsable de l'initialisation du rôle Crypto User et de la création et de la modification des objets cryptographiques dans la partition HSM.
Rôles facultatifs
Les rôles ci-dessous sont facultatifs pour accéder à IBM Cloud® HSM.
- L'auditeur est en charge de la gestion de la journalisation d'audit HSM, indépendamment des autres rôles du module HSM.
- L'utilisateur du chiffrement est en charge de l'utilisation des objets cryptographiques (chiffrement, déchiffrement, signature, vérification, etc.) sur la partition HSM.
Amélioration du modèle Cryptoki
La séparation des rôles dans SafeNet Luna Network HSM suit un modèle Cryptoki amélioré pour les rôles suivants :
Responsable de la sécurité HSM
Le responsable de la sécurité HSM a le contrôle de SafeNet Luna Network HSM. Pour accéder aux fonctions de ce responsable, vous devez d'abord vous connecter en tant qu'administrateur du dispositif.
En plus de toutes les autres fonctions du dispositif, un utilisateur authentifié avec les données d'authentification du responsable de la sécurité HSM peut effectuer les actions suivantes :
- Créer et supprimer des partitions
- Effectuer une sauvegarde du module HSM et le restaurer
- Modifier les stratégies HSM
Responsable de la sécurité de la partition
Le responsable de la sécurité de la partition a le contrôle d'une ou de plusieurs partitions (modules HSM virtuels) dans SafeNet Luna Network HSM. Pour accéder aux fonctions de ce responsable, vous devez vous connecter via l'utilitaire LunaCM sur un ordinateur client enregistré. Le responsable de la sécurité de la partition, lorsqu'il est connecté à la partition, peut effectuer les actions suivantes :
- Modifier les stratégies de la partition
- Effectuer une sauvegarde du contenu de la partition et le restaurer
- Initialiser le rôle Responsable du chiffrement
Responsable du chiffrement
Le responsable du chiffrement dispose d'un accès en lecture/écriture à la partition via l'utilitaire LunaCM sur un ordinateur client enregistré. Ses données d'identification sur la partition permettent à une application client d'effectuer des opérations de chiffrement, notamment les suivantes :
- Créer et supprimer des clés
- Encapsuler et désencapsuler
- Chiffrer et déchiffrer
- Signer et vérifier
- Le responsable du chiffrement peut également initialiser le rôle facultatif Utilisateur du chiffrement.
Utilisateur du chiffrement
L'utilisateur du chiffrement est un utilisateur client qui ne dispose que d'un accès en lecture seule. Après l'initialisation, l'utilisateur de chiffrement authentifié peut accéder aux matériels cryptographiques existants sur la partition, mais il ne peut pas manipuler ces objets.
Ce rôle est facultatif. Si vous n'avez pas d'exigence de sécurité pour ce rôle, le rôle de l'unité compatible peut rester non initialisé et toutes les applications client peuvent accéder à la partition à l'aide des données d'identification du responsable du chiffrement.