ルートとしての全アクセス権限または制限付きアクセス権限

鍵に対するルート・アクセス権限は、無制限または制限付きとすることができます。 いずれのモードであっても、ルートはユーザーに対する su だけで、 ユーザーの暗号化ファイルまたは鍵ストアへのアクセス権限を取得することはできません。

あるモードでは、ルートはユーザーの鍵ストア・パスワードを再設定して、この鍵ストア内の ユーザーの鍵にアクセスすることができます。 このモードでは、より柔軟にシステム管理を行うことができます。

別のモードでは、ルートはユーザーのログオン・パスワードを再設定することができ、ユーザーの鍵ストア・パスワードの再設定はできません。 ルートは、ユーザーの置換 (su コマンドを使用して) およびオープン鍵ストアの継承を行うことはできません。 ルートはユーザーとグループ、およびそれらに関連する鍵ストアの作成および削除を 行うことができますが、これらの鍵ストア内の鍵へのアクセスは できません。 このモードでは、悪意のあるルートからのアタックに対してより高レベルの保護が可能になります。

鍵ストアの管理および使用のためのモードとして、Root Admin と Root Guard の 2 つのモードがあります。 EFS 管理鍵も提供されます。

EFS 管理鍵によって、Root Admin モードのすべての鍵ストアにアクセスしてパスワードを再設定することが可能になります。 この鍵は、efs_admin 特殊鍵ストアにあります。 efs_admin 特殊鍵ストアへのアクセスは、許可されたユーザー (インストール時の root ユーザー およびセキュリティー・グループ、または RBAC aix.security.efs 許可) にのみ 与えられます。

鍵ストアが Root Guard モードである場合は、この鍵ストアに含まれている鍵は、 正しい鍵ストア・パスワードを用いずに 取得することはできません。 このことは悪意のあるルートに対して強力なセキュリティーになりますが、問題もあります。すなわち、ユーザーがパスワードを忘れた場合には、鍵ストア内の鍵を解放せずにパスワードを再生成する方法がなく、結果としてユーザーはデータにアクセスすることができなくなります。 この鍵ストア・モードでは、いくつかの操作は直ちに処理することができず、保留操作としてスケジュールに入れられます。 このような保留操作は、ユーザー鍵ストア内のグループ・アクセス・キーの追加または抑止、あるいは秘密鍵の再生成のような場合に生成されます。 このような保留操作は、鍵ストアの所有者によって管理されます。