許可
トークンをリストするには、呼び出し側は少なくとも USER (READ) 権限または SO (READ) 権限を持つ必要があります。
オブジェクトをリストする権限は、以下のようにオブジェクトの属性および検索基準によって決定されます。
- 機密の鍵属性が検索テンプレートに指定されているときに秘密鍵オブジェクトをリストするには、以下を満たす必要があります。
- オブジェクトが CKA_SENSITIVE=F および CKA_EXTRACTABLE=T とマーク付けされている
- 呼び出し側が USER (READ) 権限を持つ必要がある
- それ以外の場合 (検索基準に機密属性がない)
- 共通オブジェクトをリストするには、呼び出し側は少なくとも USER (READ) 権限または SO (READ) 権限を持つ必要があります
- ALL 規則配列キーワードが指定されているときに秘密オブジェクトをリストするには、呼び出し側は少なくとも USER (READ) 権限または SO (READ) 権限を持つ必要があります
- ALL 規則配列キーワードが指定されていないときに秘密オブジェクトをリストするには、呼び出し側は USER (READ) 権限または SO (CONTROL) 権限を持つ必要があります
トークン/オブジェクトのタイプ | 検索基準内の機密属性 | ALL 規則の指定 | 必要な PKCS #11 役割権限 |
---|---|---|---|
トークン | N/A | N/A | USER (READ) または SO (READ) |
共通オブジェクト | なし | N/A | USER (READ) または SO (READ) |
秘密オブジェクト | なし | なし | USER (READ) または SO (CONTROL) |
秘密オブジェクト | なし | Yes | USER (READ) または SO (READ) |
秘密鍵オブジェクト (共通または秘密オブジェクト・クラス) CKA_SENSITIVE=F および CKA_EXTRACTABLE=T | Yes | N/A | USER (READ) |
秘密鍵オブジェクト (共通または秘密オブジェクト・クラス) CKA_SENSITIVE=T または CKA_EXTRACTABLE=F | Yes | N/A | N/A (オブジェクトはリストされない) |
注:
- セッション・オブジェクトおよびトークン・オブジェクトには同じ権限が必要です。
- 呼び出し側が所定のトークンまたはオブジェクトをリストするための十分な権限を持っていない場合、そのレコードはスキップされます。(トークンまたはオブジェクトについての情報は返されません。) 次のトークンまたはオブジェクトから処理が続行されます。
- 機密属性は以下の通りです。
- 秘密鍵オブジェクト、楕円曲線秘密鍵、DSA 秘密鍵、または Diffie-Hellman 秘密鍵オブジェクトについては CKA_VALUE。
- RSA 秘密鍵オブジェクトについては CKA_PRIVATE_EXPONENT、 CKA_PRIME_1、 CKA_PRIME_2、 CKA_EXPONENT_1、 CKA_EXPONENT_2、および CKA_COEFFICIENT。
- SO およびユーザーの PKCS #11 役割の詳細については、「z/OS Cryptographic Services ICSF Writing PKCS #11 Applications」を参照してください。