root 的完整或限制存取權

Root 對金鑰的存取權可以是無限制或有限制的。在任一模式下，root 都不可能只對使用者發出 su，就能獲得對該使用者的加密檔或金鑰儲存庫的存取權。

在某一模式中，root 可以重設使用者的金鑰儲存庫密碼，且可以取得此金鑰儲存庫中使用者金鑰的存取權。此模式提供更大的系統管理彈性。

在另一模式中，root 可以重設使用者的登入密碼，但不能重設使用者的金鑰儲存庫密碼。Root 不能代替使用者 (使用 su 指令) 並繼承開啟金鑰儲存庫。Root 可以建立及刪除使用者和群組， 及其相關的金鑰儲存庫，但無法取得對這些金鑰儲存庫中金鑰的存取權。此模式可提供更高的保護程度，防止有惡意的 root 攻擊。

有兩種管理及使用金鑰儲存庫的模式：「Root 管理」及「Root 保護」。同時提供 EFS 管理金鑰。

在「Root 管理」模式中，EFS 管理金鑰會啟用存取權，以重設所有金鑰儲存庫的密碼。此金鑰位於 efs_admin 特殊金鑰儲存庫中。efs_admin 特殊金鑰儲存庫的存取權只會授予已授權的使用者 (安裝時的 root 使用者及安全群組，或 RBAC aix.security.efs 授權)。

當金鑰儲存庫是在「Root 保護」模式時，若沒有正確的金鑰儲存庫密碼，就無法擷取此金鑰儲存庫所含的金鑰。對於有惡意的 root 而言，這是一種很強的安全防衛，但如果使用者忘記其密碼，也會造成問題，因為沒有任何方法可以重新產生密碼，而又不會遺失金鑰儲存庫中金鑰，所以使用者將無法再存取其資料。在此金鑰儲存庫模式中，部分作業無法立即處理，且會排定為擱置作業。在使用者金鑰儲存庫中新增或暫停群組存取金鑰，或重新產生專用金鑰的情況下， 就會產生這些擱置作業。這些作業均由金鑰儲存庫擁有者管理。