IBM Cloud Hardware Security Module 角色
以下部分概述了用于访问 IBM Cloud® 硬件安全模块 (HSM) 以及主机内或连接到主机的加密引擎的角色。
必需角色
如果要访问 IBM Cloud® HSM,那么以下角色是必需的。
- HSM 安全主管 (SO) 负责 HSM 初始化,设置和更改 HSM 策略以及创建或删除应用程序分区。
- 分区安全主管 (PO) 负责初始化分区上的加密主管角色,重置密码以及设置和更改分区级别策略。
- 加密主管 (CO) 负责初始化加密用户角色以及在 HSM 分区中创建和修改加密对象。
可选角色
如果要访问 IBM Cloud® HSM,那么以下角色是可选的。
- 审计员 (Au) 负责管理 HSM 审计日志记录,独立于 HSM 上的其他角色
- 加密用户 (CU) 负责在 HSM 分区中使用加密对象 (加密,解密,签名,验证等)
增强 Cryptoki 模型
SafeNet Luna Network HSM 上的角色分离遵循以下角色的增强 Cryptoki 模型:
HSM 安全主管 (SO)
HSM 安全主管对 SafeNet Luna Network HSM 设备中的 HSM 具有控制权。 要访问 HSM SO 功能,必须首先以设备管理员身份登录。
除了所有其他设备功能外,使用 HSM SO 凭证进行认证的用户还可以执行以下操作:
- 创建和删除分区
- 备份和复原 HSM
- 更改 HSM 策略
分区安全主管 (PO)
分区安全主管对 SafeNet Luna Network HSM 中的一个或多个分区(虚拟 HSM)具有控制权。 要访问分区 SO 功能,必须在已注册的客户机上使用 LunaCM 实用程序登录。 分区 SO 在登录到分区时,可以执行以下操作:
- 修改分区策略
- 备份和复原分区内容
- 初始化加密主管角色
加密主管 (CO)
加密官通过已注册客户端计算机上的 LunaCM 实用程序对分区具有完全读/写访问权。 加密官分区凭证允许客户机应用程序执行任何加密操作,包括以下操作:
- 创建和删除密钥
- 打包和解包
- 加密和解密
- 签名和验证
- 加密主管还可以初始化可选加密用户角色。
加密用户 (CU)
加密用户是受限的只读客户机用户。 初始化后,已认证的加密用户可以访问分区上存在的加密材料,但无法处理这些对象。
加密用户角色是可选的。 如果您没有此角色的安全需求,那么 CU 角色可以保持未初始化状态,并且所有客户机应用程序都可以使用加密官凭证来访问分区。