IBM Cloud Hardware Security Module 角色
下列各節概述存取 IBM Cloud® Hardware Security Module (HSM) 及主機內或連接至主機的加密引擎的角色。
必要的角色
如果您想要存取 IBM Cloud® HSM,則下列角色是必要的。
- HSM 安全管理者 (SO) 負責起始設定 HSM、設定及變更 HSM 原則,以及建立或刪除應用程式分割區。
- 分割區安全管理者 (PO) 負責起始設定分割區上的「加密管理者」角色、重設密碼,以及設定和變更分割區層次原則。
- 加密管理者 (CO) 負責起始設定「加密使用者」角色,以及在 HSM 分割區中建立及修改加密物件。
選用性角色
如果您想要存取 IBM Cloud® HSM,則下列角色是選用的。
- 審核員 (Au) 負責管理 HSM 審核記載,與 HSM 上的其他角色無關
- 加密使用者 (CU) 負責在 HSM 分割區中使用加密物件 (加密、解密、簽署、驗證等)
加強型 Cryptoki 模型
SafeNet Luna Network HSM 上的角色區隔,會針對下列角色遵循加強型 Cryptoki 模型:
HSM 安全性管理者 (SO)
HSM SO 能控制 SafeNet Luna Network HSM 應用裝置內的 HSM。 若要存取 HSM SO 功能,您必須先以應用裝置管理身分登入。
除了所有其他應用裝置功能之外,使用 HSM SO 認證鑑別的使用者還可以執行下列動作:
- 建立及刪除分割區
- 備份及還原 HSM
- 變更 HSM 原則
分割區安全性管理者 (PO)
分割區安全性管理者可以控制 SafeNet Luna Network HSM 內的一個以上分割區(虛擬 HSM)。 若要存取分割區 SO 功能,您必須在已登錄用戶端電腦上使用 LunaCM 公用程式登入。 分割區 SO 在登入分割區時,可以執行下列動作:
- 修改分割區原則
- 備份及還原分割區內容
- 起始設定「加密管理者」角色
加密管理者 (CO)
加密管理者透過已登錄用戶端電腦上的 LunaCM 公用程式,對分割區具有完整讀寫存取權。 加密管理者分割區認證可讓用戶端應用程式執行任何加密作業,包括下列作業:
- 建立及刪除金鑰
- 折行及取消折行
- 加密和解密
- 簽署和驗證
- 「加密管理者」也可以起始設定選用性的「加密使用者」角色。
加密使用者 (CU)
「加密使用者」是受限的唯讀「用戶端」使用者。 起始設定之後,已鑑別的「加密使用者」可以存取分割區上存在的加密資料,但無法操作那些物件。
「加密使用者」角色是選用性的。 如果您沒有此角色的安全需求,則 CU 角色可以保持未起始設定,且所有用戶端應用程式都可以使用「加密管理者」認證來存取分割區。