管理用户访问权
IBM Cloud Hyper Protect Crypto Services 支持集中式访问控制系统,该系统由 IBM Cloud® Identity and Access Management 管理,可帮助您管理用户和加密密钥的访问权限。
角色和许可权
下表显示了 Hyper Protect Crypto Services 支持的角色。
| 角色 | 许可权 |
|---|---|
| 服务管理员 | 管理 平台访问权 和 服务访问权,授予对密钥的访问权,创建和删除服务实例以及管理密钥。 将自动为 IBM Cloud 帐户所有者分配服务管理员许可权。 |
| 加密单元管理员 | 提供签名密钥,并签署可信密钥条目 (TKE) 管理命令,例如用于添加另一个加密单元管理员。 在某些情况下,加密单元管理员也可以是主密钥管理人。 |
| 主密钥管理人 | 提供用于初始化服务实例的主密钥部件。 在某些情况下,主密钥管理人也可以是加密单元管理员。 |
| 证书管理员 | 设置和管理管理员签名密钥和客户机证书,以在 GREP11 或 PKCS #11 API 连接中启用第二层 TLS 认证。 需要为管理员分配 Certificate Manager IAM 服务访问角色 以执行相应的操作。 |
| 服务用户 | 通过用户界面和 API 管理根密钥和标准密钥,并通过 PKCS #11 API 或 Enterprise PKCS #11 over gRPC (GREP11) 执行加密操作 API。 根据 平台访问角色 和 服务访问角色,可以使用各种许可权对服务用户进行进一步分类。 |
下图说明了角色和许可权。
IAM 平台访问角色
通过 Cloud Identity and Access Management (IAM),作为帐户所有者或服务管理员,您可以管理和定义 IBM Cloud 帐户中服务用户和资源的访问权。
为简化访问,Hyper Protect Crypto Services 与 IAM 角色 保持一致,这样每个用户都能根据分配给自己的角色获得不同的服务视图。 如果您是服务管理员,您可以分配与您要授予团队成员的特定 Hyper Protect Crypto Services 权限相对应的云 IAM 角色。
下表列出了 Hyper Protect Crypto Services上下文中的 IBM Cloud IAM 角色。 有关完整的 IAM 文档以及如何分配访问权,请参阅 在 IBM Cloud中管理访问权。
使用 IBM Cloud 平台访问角色在帐户级别授予许可权,例如能够在 IBM Cloud 帐户中创建或删除实例。
| 操作 | 查看者 | 编辑者 | 运算符 | 管理员 |
|---|---|---|---|---|
| 查看 Hyper Protect Crypto Services 实例。 |  |
|
|
|
| 创建 Hyper Protect Crypto Services 实例。 | |
|
||
| 删除 Hyper Protect Crypto Services 实例。 | |
|
||
| 邀请新用户并管理访问策略。 | |
如果您是帐户所有者,那么会自动为您分配对 Hyper Protect Crypto Services 服务实例的 管理员 平台访问权,以便您可以进一步分配角色并为其他人定制访问策略。
IAM 服务访问角色
作为服务管理员,使用服务访问角色在服务级别授予服务用户许可权,例如查看,创建或删除 Hyper Protect Crypto Services 密钥的能力。
- 作为阅读器,您可以浏览键的高级视图,并使用键执行包装和解除包装操作。 读者无法创建,修改或删除密钥。
- 作为 ReaderPlus,您拥有与阅读器相同的权限,还可以检索标准密钥的材料。
- 作为 写入者,您可以创建,修改,轮换和使用密钥。 写程序无法删除或禁用密钥。
- 作为 管理者,您可以执行 Reader,ReaderPlus 和 Writer 可以执行的所有操作,包括删除密钥和设置密钥策略的功能。 管理员无法清除密钥。
- 作为 VMware KMIP Manager,您可以使用 Hyper Protect Crypto Services 配置 KMIP for VMware 以使用您自己的根密钥启用加密。
- 作为 KMS 密钥清除 角色,您可以清除已删除的密钥以从实例中永久除去密钥。
- 作为 Certificate Manager 角色,您可以在 GREP11 或 PKCS #11 API 连接中管理第二层认证的管理员签名密钥和客户机证书。
下表显示了服务访问角色如何映射到 Hyper Protect Crypto Services 权限。 IAM 角色是提供的缺省角色。 用户可以定义自定义角色。
- 可信密钥条目 (TKE) 使用智能卡或具有 IAM 认证的软件 CLI 插件。 不包含用于在智能卡或 CLI 上本地管理密钥的命令。 这些命令不会与 HSM 域交互。
- 密钥管理服务 API 用于包络加密,并处理 IBM Cloud 服务用于加密静态数据的根密钥。
- HSM API (PKCS #11 API 和 GREP11 API) 用于应用程序级别加密。
- 密钥管理互操作性协议 (KMIP) 适配器用于配置具有 Hyper Protect Crypto Services 的 KMIP for VMware 服务,以通过使用您自己的根密钥来启用 vSphere 加密或 vSAN 加密。
- Certificate Manager Server 接收并处理有关设置证书管理员签名密钥和客户机证书的请求,以在 GREP11 或 PKCS #11 API 连接中启用第二层认证。
| 操作 | 读者 | ReaderPlus | 写入者 | 管理者 | 加密单元管理员 |
|---|---|---|---|---|---|
TKE 视图状态: ibmcloud tke cryptounit-admins,ibmcloud tke cryptounit-compare,ibmcloud tke cryptounit-thrhlds 和 ibmcloud tke cryptounit-mk。 |
|
||||
TKE 集合上下文: ibmcloud tke-cryptounit-add,ibmcloud tke-cryptounit-rm。 |
|
||||
TKE 管理员添加或除去: ibmcloud tke cryptounit-admin-add,ibmcloud tke cryptounit-admin-rm。 |
|
|
|||
TKE 设置管理定额阈值: ibmcloud tke -cryptounit-thrhld-set. |
|
|
|||
TKE 主密钥操作 (装入,旋转,清除,清零和恢复): ibmcloud tke cryptounit-mk-*,ibmcloud tke auto-init,ibmcloud tke auto-mk-rotate 和 ibmcloud tke auto-recover。 |
|
|
| 操作 | 读者 | ReaderPlus | 写入者 | 管理者 | KMS 密钥清除 |
|---|---|---|---|---|---|
| 创建密钥。 | |
|
|||
| 导入密钥。 | |
|
|||
| 检索密钥。 | |
|
|
||
| 检索密钥元数据。 | |
|
|
|
|
| 检索密钥总计。 | |
|
|
|
|
| 列出密钥。 | |
|
|
|
|
| 打包密钥。 | |
|
|
|
|
| 解包密钥。 | |
|
|
|
|
| 重新打包密钥。 | |
|
|
|
|
| 修补密钥。 | |
||||
| 旋转密钥。 | |
|
|||
| 禁用密钥。 | |
||||
| 启用密钥。 | |
||||
| 调度密钥的删除。 | |
|
|||
| 取消删除密钥。 | |
|
|||
| 删除密钥。 | |
||||
| 清除密钥。 | |
||||
| 复原密钥。 | |
||||
| 设置关键策略。 | |
||||
| 列出关键策略。 | |
||||
| 设置实例策略。 | |
||||
| 列出实例策略。 | |
||||
| 创建导入令牌。 | |
|
|||
| 检索导入令牌。 | |
|
|||
| 创建注册。1 | |
|
|
|
|
| 列出密钥的注册。 | |
|
|
|
|
| 列出任何密钥的注册。 | |
|
|
|
|
| 更新注册。1 | |
|
|
|
|
| 替换注册。1 | |
|
|
|
|
| 删除注册。1 | |
|
|
|
|
| 创建密钥环。 | |
|
|||
| 列出密钥环。 | |
|
|
|
|
| 删除密钥环。 | |
||||
| 创建密钥别名。 | |
|
|||
| 删除密钥别名。 | |
1: 此操作由支持密钥注册的 集成服务 代表您执行。 了解更多信息。
| 操作 | 读者 | ReaderPlus | 写入者 | 管理者 |
|---|---|---|---|---|
| 获取机制列表和信息 | |
|
|
|
| 创建或删除密钥库 | |
|||
| 列出密钥库 | |
|||
| 生成密钥 | |
|
||
| 生成密钥对 | |
|
||
| 商店密钥 | |
|
||
| 生成随机 | |
|
|
|
| 列出密钥 | |
|
|
|
| 获取或设置键属性 | |
|
|
|
| 包装密钥 | |
|
|
|
| 重新打包密钥 | |
|
|
|
| 解包密钥 | |
|
|
|
| 更新密钥 | |
|
|
|
| Encrypt | |
|
|
|
| Decrypt | |
|
|
|
| 签名 | |
|
|
|
| 验证 | |
|
|
|
| 摘要 | |
|
|
|
| 操作 | 读者 | ReaderPlus | 写入者 | 管理者 | VMWare KMIP Manager |
|---|---|---|---|---|---|
| 激活 KMIP 端点。 | |
||||
| 取消激活 KMIP 端点。 | |
||||
| 获取 KMIP 端点的状态。 | |
||||
| 为 KMIP 端点添加客户端证书,以便使用相互 TLS。 | |
||||
| 从 KMIP 端点删除客户端证书,以便使用互操作 TLS。 | |
| 操作 | 读者 | ReaderPlus | 写入者 | 管理者 | Certificate Manager |
|---|---|---|---|---|---|
| 创建管理员签名密钥。 | |
||||
| 刷新并更新管理员签名密钥。 | |
||||
| 读取证书管理员的管理员签名密钥。 | |
||||
| 删除证书管理员的管理员签名密钥。 | |
||||
| 创建或更新客户机证书。 | |
||||
| 列出证书管理员管理的所有客户证书。 | |
||||
| 检索客户机证书。 | |
||||
| 删除客户机证书。 | |
管理对多个实例的访问
如果您在不同帐户中有多个 Hyper Protect Crypto Services 实例,那么可能需要利用 IBM Cloud 企业来管理帐户和用户访问权。
-
创建企业层次结构
通过 IBM Cloud 企业,您可以集中管理多个帐户和资源。 您可以根据需要通过在企业帐户中嵌套帐户组或帐户来创建企业层次结构。 对企业和子帐户的访问管理是隔离的,以提供更大的安全性。 要了解如何创建企业并向企业添加帐户,请参阅 组织资源和分配访问权的最佳实践。
-
在资源组中组织帐户资源
Hyper Protect Crypto Services 实例与企业的子帐户相关联。 在每个帐户中,您可以在资源组中组织服务实例,以便可以向每个资源组分配不同的访问策略以启用独立访问控制。 有关如何创建资源组和组织资源,请参阅 组织资源的最佳实践。
-
分配用于管理企业和资源的访问权
根据列出的 Hyper Protect Crypto Services IAM 平台角色 和 服务角色,您可以为用户分配对企业层次结构的每个层的相应访问权。 您还可以通过定义访问组来对用户或 服务标识 进行分组,以简化分配访问权的过程。 有关分配访问权的更多信息,请参阅 云中的访问权管理。
-
使用 IBM Cloud API 密钥
您可以为用户或服务创建 IBM Cloud API 密钥 以跟踪和控制 API 使用情况。 用户 API 密钥与用户身份相关联,并继承分配给用户的所有访问权。 服务 API 密钥被授予与特定服务标识关联的访问权。 API 密钥还可用于 生成 IAM 令牌 以进行 API 调用认证。 有关如何管理 API 密钥,请参阅 管理用户 API 密钥 和 管理服务标识 API 密钥。
以下示例显示如何使用企业来管理多个实例和用户访问权。 假定您的组织有两个 Hyper Protect Crypto Services 实例用于开发和生产,两个单独的团队正在管理和操作这些实例。您可以创建以下企业层次结构以更好地管理帐户,实例和用户访问权:
- 使用单独的帐户和不同的资源组来管理用于开发目的和生产目的的实例。
- 为用户分配对相应资源的最低访问权。 例如,为企业经理分配帐户和计费管理的管理员角色。 为开发者团队成员分配用于对开发实例执行操作的编辑者和管理者角色。 为其他成员分配查看者和读者角色,以仅查看实例资源。
下一步
帐户所有者和管理员可以邀请用户并设置对应于用户可以执行的 Hyper Protect Crypto Services 操作的服务策略。 有关分配用户角色的更多信息,请参阅 管理对资源的访问权。