IBM Cloud Docs
IBM Cloud Hardware Security Module 角色

IBM Cloud Hardware Security Module 角色

以下部分概述了用于访问 IBM Cloud® 硬件安全模块 (HSM) 以及主机内或连接到主机的加密引擎的角色。

必需角色

如果要访问 IBM Cloud® HSM,那么以下角色是必需的。

  • HSM 安全主管 (SO) 负责 HSM 初始化,设置和更改 HSM 策略以及创建或删除应用程序分区。
  • 分区安全主管 (PO) 负责初始化分区上的加密主管角色,重置密码以及设置和更改分区级别策略。
  • 加密主管 (CO) 负责初始化加密用户角色以及在 HSM 分区中创建和修改加密对象。

可选角色

如果要访问 IBM Cloud® HSM,那么以下角色是可选的。

  • 审计员 (Au) 负责管理 HSM 审计日志记录,独立于 HSM 上的其他角色
  • 加密用户 (CU) 负责在 HSM 分区中使用加密对象 (加密,解密,签名,验证等)

增强 Cryptoki 模型

SafeNet Luna Network HSM 上的角色分离遵循以下角色的增强 Cryptoki 模型:

HSM 安全主管 (SO)

HSM 安全主管对 SafeNet Luna Network HSM 设备中的 HSM 具有控制权。 要访问 HSM SO 功能,必须首先以设备管理员身份登录。

除了所有其他设备功能外,使用 HSM SO 凭证进行认证的用户还可以执行以下操作:

  • 创建和删除分区
  • 备份和复原 HSM
  • 更改 HSM 策略

分区安全主管 (PO)

分区安全主管对 SafeNet Luna Network HSM 中的一个或多个分区(虚拟 HSM)具有控制权。 要访问分区 SO 功能,必须在已注册的客户机上使用 LunaCM 实用程序登录。 分区 SO 在登录到分区时,可以执行以下操作:

  • 修改分区策略
  • 备份和复原分区内容
  • 初始化加密主管角色

加密主管 (CO)

加密官通过已注册客户端计算机上的 LunaCM 实用程序对分区具有完全读/写访问权。 加密官分区凭证允许客户机应用程序执行任何加密操作,包括以下操作:

  • 创建和删除密钥
  • 打包和解包
  • 加密和解密
  • 签名和验证
  • 加密主管还可以初始化可选加密用户角色。

加密用户 (CU)

加密用户是受限的只读客户机用户。 初始化后,已认证的加密用户可以访问分区上存在的加密材料,但无法处理这些对象。

加密用户角色是可选的。 如果您没有此角色的安全需求,那么 CU 角色可以保持未初始化状态,并且所有客户机应用程序都可以使用加密官凭证来访问分区。