|
Home > |
|
|---|
HSM и партиции в них характеризуются возможностями, которые устанавливаются при изготовлении и могут изменяться при модернизации. Возможности HSM настраиваются при помощи соответствующих этим возможностям политик. Возможности и политики распространяются на весь HSM. В свою очередь возможности и политики партиций могут быть заимствованы у HSM полностью или только в части, необходимой для конкретной партиции приложения. Рисунок 1 иллюстрирует преемственность возможностей и политик с уровня HSM на уровень партиции.
Рисунок 1: Преемственность возможностей и политик
Все политики имеют одинаковые возможности, но не для каждой возможности есть политики, позволяющие эту возможность применить. Поясним это на простом примере: администратор HSM отвечает за настройку возможностей HSM, но только Partition SO может активировать эти возможности, применяя соответствующие политики.
Для некоторых политик установки представляют собой числа, которые можно увеличивать или уменьшать. Однако большинство политик просто активируются или деактивируются. Для изменения установок политик требуется авторизация Офицера безопасности соответствующего уровня: для политик всего HSM это должен быть Офицер безопасности HSM (HSM SO), а для политик уровня партиции - Офицер безопасности партиции (Partition SO).
Политики устанавливаются командой hsm changepolicy или командой partition changepolicy соответственно. В качестве параметров команд используются номер изменяемой политики и новое значение для этой политики. Для политик с бинарными значениями это будет либо ноль, либо единица.
Списки возможностей HSM и партиций а также установочные величины для них приведены в Administration Guide.
Операция клонирования позволяет дуплицировать или копировать содержимое HSM или партиции на другой HSM или партицию, находящиеся в одном и том же домене клонирования. Возможность HSM, контролирующая клонирование, называется Enable Cloning. Соответствующая политика для HSM , Allow Cloning - переменная величина, принимающая значение 0 или 1.
NOTE Включение или выключение клонирования - деструктивное действие, приводящее к перезагрузке HSM. Прежде чем предпринять это действие, надо быть уверенным в том, будете ли Вы использовать эту возможность.
На Рисунке 2 показано, как возможность клонирования наследуется партицией в HSM в зависимости от того, включаете ли Вы соответствующую политику или нет.
Рисунок 2: Наследование возможности клонирования
Если клонирование не разрешено на уровне HSM, то ни одна партиция такой возможностью обладать не будет.
Если клонирование разрешено на уровне HSM, то каждая партиция обладает возможностью включить клонирование, но будет она её использовать или нет, определяется политикой именно этой партиции.