以 root 用户的身份进行完全访问或受限制的访问

对密钥的 root 访问可以不受限制，也可以受限制。 无论哪种方式，root 都不能只向用户提供 su 来获取对用户加密文件或密钥库的访问。

在一种方式下，root 用户可重新设置用户的密钥库密码，并且可能会获得对此密钥库中用户密钥的访问权。 这种方式提供了更高的系统管理灵活性。

在其他方式下，root 用户可重新设置用户的登录密码，但不能重新设置用户的密钥库密码。 root 用户不可能代替用户（使用 su 命令）和继承开放式密钥库。 然而，root 用户可创建和删除用户和组。 对于这些用户和组的相关密钥库，root 用户无法获取对这些密钥库中的密钥的访问权。 这种方式针对恶意 root 用户的攻击提供了更高的保护等级。

有两种管理和使用密钥库的方式：Root Admin 和 Root Guard。 还提供了 EFS 管理密钥。

EFS 管理密钥使访问能够以 Root Admin 方式将密码留给所有密钥库。 此密钥在 efs_admin 特殊密钥库中。 对 efs_admin 特殊密钥库的访问仅授予已获得授权的用户（root 用户和在安装时的安全组，或具有 RBAC aix.security.efs 权限的用户)。

当密钥库处于 Root Guard 方式时，此密钥库中包含的密钥不能在没有正确的密钥库密码时进行检索。 这样就针对恶意 root 用户提供了高度的安全性，但是却可能引起问题：如果用户忘记了他们的密码，因为无法在不释放密钥库中的密钥的情况下重新生成密码，所以用户将不再能够访问他们的数据。 在此密钥库方式中，某些操作不能立即处理，它们将作为暂挂操作进行调度。 这些暂挂操作是在诸如在用户密钥库中添加或禁止组访问密钥或重新生成专用密钥这样的情况下生成的。 这些暂挂操作由密钥库所有者管理。