IBM Cloud Hardware Security Module の役割
以下のセクションでは、 IBM Cloud® Hardware Security Module (HSM) およびホスト内の、またはホストに接続されている暗号化エンジンにアクセスする役割の概要を示します。
必須の役割
以下の役割は、IBM Cloud® HSM にアクセスするために必須の役割です。
- HSM セキュリティー担当者 (SO) は、HSM の初期化、HSM ポリシーの設定と変更、およびアプリケーション・パーティションの作成または削除を担当します。
- 区画セキュリティー担当者 (PO) は、区画に対する暗号担当者の役割の初期化、パスワードのリセット、および区画レベルのポリシーの設定と変更を担当します。
- 暗号担当者 (CO) は、暗号ユーザー役割の初期化、および HSM 区画での暗号オブジェクトの作成と変更を担当します。
オプションの役割
以下の役割は、IBM Cloud® HSM にアクセスする場合のオプションの役割です。
- 監査員 (Au) は、HSM 監査ロギングを担当します。HSM の他の役割から独立しています。
- 暗号ユーザー (CU) は、HSM パーティションでの暗号オブジェクトの使用 (暗号化、復号、署名、検証など) を担当します。
拡張 Cryptoki モデル
SafeNet Luna Network HSM での以下の役割の役割分離は、拡張 Cryptoki モデルに準拠しています。
HSM セキュリティー担当者 (SO)
HSM SO は、SafeNet Luna Network HSM アプライアンス内の HSM を制御できます。 HSM の SO 機能にアクセスするには、最初にアプライアンス管理者としてログインする必要があります。
HSM SO 資格情報を使用して認証を受けたユーザーは、その他のすべてのアプライアンス機能の他に以下のアクションを実行できます。
- パーティションの作成と削除
- HSM のバックアップとリストア
- HSM ポリシーの変更
パーティション・セキュリティー担当者 (PO)
パーティション・セキュリティー担当者は、SafeNet Luna Network HSM 内の 1 つ以上のパーティション (仮想 HSM) を制御できます。 パーティション SO の機能にアクセスするには、登録済みクライアント・コンピューターで LunaCM ユーティリティーを使用してログインする必要があります。 パーティションにログインしたパーティション SO は、以下のアクションを実行できます。
- パーティション・ポリシーの変更
- パーティションの内容のバックアップとリストア
- 暗号担当者役割の初期設定
暗号担当者 (CO)
暗号担当者は、登録済みクライアント・コンピューターで LunaCM ユーティリティーを使用してパーティションへの完全な読み取り/書き込みアクセスが可能です。 暗号担当者のパーティション資格情報により、クライアント・アプリケーションは次のような暗号操作を実行できます。
- 鍵の作成と削除
- ラップとアンラップ
- 暗号化と復号
- 署名と検証
- また暗号担当者は、オプションの暗号ユーザー役割を初期設定できます。
暗号ユーザー (CU)
暗号ユーザーは、制限付き読み取り専用クライアント・ユーザーです。 初期設定の後、認証済み暗号ユーザーは、パーティションに存在する暗号マテリアルにアクセスできますが、これらのオブジェクトを操作することはできません。
暗号ユーザー役割はオプションです。 このロールのセキュリティー要件がない場合、CU ロールは未初期化のままにすることができ、すべてのクライアント・アプリケーションは暗号担当者資格情報を使用して区画にアクセスできます。