Erstellen Sie eine Modulzugriffsrichtlinie

Sicherheit der Washington DC-Plattform

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Sicherheit der Washington DC-Plattform

ft:clusterId

psec

bundleId

psec

workflow

Platform

Erstellen Sie eine Modulzugriffsrichtlinie

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

4 Minuten Lesedauer

Erstellen Sie Modulzugriffsrichtlinien, um einzuschränken, ob Daten verschlüsselt oder entschlüsselt werden können.

Vorbereitungen

Erforderliche Rolle: sn_kmf.cryptographic_manager oder sn_kmf.admin

Warum und wann dieser Vorgang ausgeführt wird

Column Level Encryption (CLE) unterstützt rollenbasierte Modulzugriffsrichtlinien, und zusätzliche Konfigurationsoptionen werden mit der Funktionalität (CLE_Ent) verfügbar.

Konfigurieren Sie den spezifischen kryptografischen Vorgang in Modulzugriffsrichtlinien für kryptografische Module, die symmetrische Vorgänge unterstützen. Beispielsweise kann einem Benutzer erlaubt werden, Daten zu verschlüsseln, aber nicht zu entschlüsseln.
Legen Sie einen Standardwert für die Modulzugriffsrichtlinie pro oder kryptografischem Modul fest.
Ordnen Sie Skriptversionen zu, in denen Änderungen am Skript nachverfolgt werden, und machen Sie die Skriptrichtlinie ungültig, was eine bessere Sicherheit für Modulzugriffsrichtlinien vom Typ Skript bietet.

CLE_Ent -Funktionalität ist mit einem kostenpflichtigen Abonnement verfügbar. Informationen zu unterstützten Funktionen und Optionen, die für jedes Angebot verfügbar sind, finden Sie unter. Weitere Informationen finden Sie unter Verschlüsselung auf Spaltenebene Enterprise.

Hinweis:

Das Standardverhalten der Modulzugriffsrichtlinien (Module Access Policies, MAPs) ist „Ablehnen“, um nicht autorisierten Zugriff zu verhindern, sofern dies nicht ausdrücklich in MAP-Datensätzen deklariert ist.

Prozedur

Navigieren zu Alle > Schlüsselverwaltung > Modulzugriffsrichtlinien > Alle.
Wenn Sie kein kryptografisches Modul erstellen, das für die symmetrische Datenverschlüsselung/-entschlüsselung konfiguriert ist, wird eine automatisch generierte Modulzugriffsrichtlinie erstellt und in der Tabelle aufgelistet.
Klicken Sie auf Neu.
- Wählen Sie Zweck angeben aus, um eine Krypto-Spezifikation auszuwählen, und legen Sie den Granular-Vorgangfest.
- Mit kryptografischen Spezifikationen für symmetrische Datenverschlüsselung/-entschlüsselung und symmetrisches Packen/Entpacken ist das Feld Granularer Vorgang verfügbar, wenn Sie das Kontrollkästchen Zweck angeben aktivieren.

Füllen Sie das Formular aus.

Felder „Modulzugriffsrichtlinien“.


Feld	Beschreibung
Richtlinienname	Geben Sie einen Namen für die Richtlinie ein.
Crypto-Modul	Klicken Sie auf das Suchsymbol ( ), um ein Modul auszuwählen.
Krypto-Spezifikation	Wählen oder erstellen Sie beim Generieren der Modulzugriffsrichtlinie eine neue kryptografische Spezifikation. Dieses Feld wird verfügbar, wenn das Kontrollkästchen Zweck angeben aktiviert wird.
Granularer Vorgang	Wählen Sie den kryptografischen Zweck für die kryptografische Spezifikation aus. Die verfügbaren Werte hängen vom Typ der ausgewählten kryptografischen Spezifikation ab. Weitere Informationen zu kryptografischen Zwecken finden Sie unter Kryptografischer Zweck, Algorithmen und Schlüsselinformationen.
Typ	Bereich: Steuert den Zugriff nach Anwendungsbereich. Systemanwender: Ermöglicht Systemanwendern den Zugriff auf Krypto-Module. Skript: Steuern Sie den Zugriff per Skript. Weitere Informationen finden Sie unter Konfigurieren Sie den Skriptzugriff auf verschlüsselte Daten. Rolle: Steuert den Zugriff nach Benutzerrolle. Ressourcenaustausch: Steuern Sie den Zugriff mit Ressourcenaustausch. Weitere Informationen finden Sie unter Key Management Framework Ressourcenaustausch. Hinweis: Nur der Rollentyp wird mit Verschlüsselung auf Spaltenebene unterstützt. Alle anderen Typen sind mit Verschlüsselung auf Spaltenebene Enterpriseverfügbar.
Zielbereich	Feld ist als Bezeichner für den Umfangstyp sichtbar. Bezieht sich auf die Funktionalität für die Richtlinie. Wählen Sie die Anwendungen aus dem Suchmenü aus. Hinweis: Zielumfang wird nicht unterstützt und kann nur mit festgelegt werden Verschlüsselung auf Spaltenebene Enterprise
Zielrolle	Das Feld ist als Bezeichner für den Rollentyp sichtbar. Rolle, für die diese Richtlinie gilt.
Skripttabelle Zielskript	Diese Felder werden angezeigt, wenn Sie Skript als Typ auswählen. Feld ist als Bezeichner für den Skripttyp sichtbar. Wählen Sie eine Tabelle aus, für die diese Richtlinie gilt. Dokument, für das diese Richtlinie gilt. Wählen Sie den Tabellennamen und dann das zugehörige Dokument für die Richtlinie aus. Wenn ein Skript zum ersten Mal ein kryptografisches Modul aufruft, wird der Zugriff auf das Modul verweigert, und der Entwickler erhält einen Fehler. Dies gibt dem Modulbesitzer die Möglichkeit, den Zugriff auf das Modul zu gewähren oder zu verweigern.
Ressourcenaustausch: Krypto-Spezifikation Freigabetyp Zielinstanz-Host	Diese Optionen werden angezeigt, wenn Sie Ressourcenaustausch als Typ auswählen. Ressourcenaustausch wird sowohl von KMF als auch von Verschlüsselung auf Spaltenebene Enterprise unterstützt, wenn das übergeordnete Modul column_level_encryptionist. Wählen Sie die Krypto-Spezifikation, Einmalig oder Wiederkehrend, und die URL der Zielinstanz aus. Weitere Informationen finden Sie unter Key Management Framework Ressourcenaustausch.
Identitätswechsel	In rollenbasierten Modulzugriffsrichtlinien können Benutzer über eine Identitätswechselsitzung auf verschlüsselte Daten zugreifen. Wenn Benutzer, z. B. Administratoren, die Identität anderer Benutzer annehmen, werden solche für Identitätswechsel aktivierten Modulzugriffsrichtlinien angewendet.
Zweck angeben	Auswählen, um das Feld Krypto-Spezifikation als verfügbares Feld für die Richtlinie umzuschalten.
Aktiv	Wählen Sie diese Option aus, um die Richtlinie zu aktivieren.
Ergebnis	Wählen Sie eine der folgenden Optionen aus: StrictReject lehnt den Zugriff unter allen Umständen ab. Ablehnen lehnt Benutzer mit der Zielrolle oder dem Zielbereich vom Zugriff auf dieses kryptografische Modul ab, es sei denn, eine andere Richtlinie gewährt ihnen Zugriff. Nachverfolgen, um Zugriff zu gewähren und die Verwendung des Moduls zu überwachen.

Wählen Sie Absenden.

Warnung:

Für Benutzer des Supports für veraltete Verschlüsselung:

Wenn Sie die Nicht-Enterprise-Version von Column Level Encryption verwenden, sind Sie auf fünf Module beschränkt. Wenn Sie dieses Limit überschritten haben, erhalten Sie die folgende Warnung:

Diese Einfügung überschreitet die Anzahl der veröffentlichten Module, die für die Verschlüsselung auf Spaltenebene zulässig sind, mit dem Abonnementprodukt. Für zusätzliche Module ist das Enterprise-Abonnement für Verschlüsselung auf Spaltenebene erforderlich. Wenden Sie sich an Ihr Account-Team.
Wählen Sie den Richtliniennamen aus, der dem kryptografischen Modul zugeordnet ist, das Sie untersuchen möchten.
Verwenden der Modulzugriffsrichtlinie vom Typ „Skript“:
Eine Modulzugriffsrichtlinie wird basierend auf der Standardzugriffseinstellung automatisch generiert, wenn das Skript ausgeführt wird. Dem Modulnamen wird „AutoGen-“ vorangestellt. Beispielsweise wird das Modul „Module-TestPolicy“ als „AutoGen-Module-TestPolicy“ in der Spalte „Richtlinienname“ aufgeführt.

Im Formular „Krypto-Aufruferrichtlinie“ wird die von Ihnen ausgewählte Anruferrichtlinie aufgelistet. Das Feld Zielbereich gibt den Bereich des Skripts an, das versucht, das Modul zu verwenden. Weitere Informationen finden Sie unter Konfigurieren Sie den Skriptzugriff auf verschlüsselte Daten.

Hinweis:
Bei Verschlüsselung auf Spaltenebene sind maximal fünf Modulzugriffsrichtlinien zulässig. Weitere Informationen zu Konfigurationsoptionen finden Sie unter Abonnementpaket für Verschlüsselung und Schlüsselverwaltung.