Erstellen Sie eine Modulzugriffsrichtlinie

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Erstellen Sie Modulzugriffsrichtlinien, um die Verschlüsselung oder Entschlüsselung von Daten einzuschränken.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_manager oder sn_kmf.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Die Verschlüsselung auf Spaltenebene (CLE) unterstützt rollenbasierte Modulzugriffsrichtlinien, und zusätzliche Konfigurationsoptionen werden mit der Funktionalität von (CLE_Ent) verfügbar.
    • Konfigurieren Sie den spezifischen kryptografischen Vorgang in Modulzugriffsrichtlinien für kryptografische Module, die symmetrische Vorgänge unterstützen. Beispielsweise kann einem Benutzer erlaubt werden, Daten zu verschlüsseln, aber nicht zu entschlüsseln.
    • Legen Sie einen Standardwert für die Modulzugriffsrichtlinie pro oder kryptografischem Modul fest.
    • Ordnen Sie Skriptversionen zu, in denen Änderungen am Skript nachverfolgt werden, und machen Sie die Skriptrichtlinie ungültig, um die Sicherheit für Modulzugriffsrichtlinien vom Typ Skript zu verbessern.
    CLE_Ent -Funktionen sind mit einem kostenpflichtigen Abonnement verfügbar. Informationen zu den unterstützten Funktionen und Optionen, die für die einzelnen Angebote verfügbar sind, finden Sie unter. Weitere Informationen finden Sie unter Verschlüsselung auf Spaltenebene Enterprise.
    Hinweis:
    Das Standardverhalten der Modulzugriffsrichtlinien (Module Access Policies, MAPs) ist Ablehnen, um jeden nicht autorisierten Zugriff zu verhindern, sofern dies nicht ausdrücklich in den MAP-Datensätzen angegeben wurde.

    Prozedur

    1. Navigieren zu Alle > Schlüsselverwaltung > Modulzugriffsrichtlinien > Alle.
      Wenn Sie kein kryptografisches Modul erstellen, das für die symmetrische Datenverschlüsselung/-entschlüsselung konfiguriert ist, wird eine automatisch generierte Modulzugriffsrichtlinie erstellt und in der Tabelle aufgeführt.
    2. Klicken Sie auf Neu.
      • Wählen Sie Zweck angeben aus, um eine Krypto-Spezifikation auszuwählen und den Granularen Vorgang festzulegen.Wenn Sie das Kontrollkästchen Zweck angeben aktivieren, sind Felder für die kryptografische Spezifikation verfügbar.
      • Mit den kryptografischen Spezifikationen für symmetrische Datenverschlüsselung/-entschlüsselung und symmetrisches Packen/Entpacken ist das Feld Granularer Vorgang verfügbar, wenn Sie das Kontrollkästchen Zweck angeben aktivieren.

        Granulare Vorgangsliste.

    3. Füllen Sie das Formular aus.
      Felder „Modulzugriffsrichtlinien“
      Feld Beschreibung
      Richtlinienname Geben Sie einen Namen für die Richtlinie ein.
      Crypto-Modul Klicken Sie auf das Suchsymbol ( Suchsymbol.), um ein Modul auszuwählen.
      Krypto-Spezifikation Wählen Sie eine neue kryptografische Spezifikation aus, oder erstellen Sie eine neue, während Sie die Modulzugriffsrichtlinie generieren. Dieses Feld wird verfügbar, wenn das Kontrollkästchen Zweck angeben aktiviert ist.
      Granularer Vorgang Wählen Sie den kryptografischen Zweck für die kryptografische Spezifikation aus. Die verfügbaren Werte hängen vom Typ der ausgewählten kryptografischen Spezifikation ab.

      Weitere Informationen zu Krypto-Zwecken finden Sie unter.
      Typ
      • Bereich: Steuert den Zugriff nach Anwendungsbereich.
      • Systemanwender: Ermöglicht Systemanwendern den Zugriff auf Krypto-Module.
      • Skript: Steuerung des Zugriffs nach Skript. Weitere Informationen finden Sie unter
      • Rolle: Steuert den Zugriff nach Anwenderrolle.
      • Ressourcenaustausch: Steuern Sie den Zugriff mit Ressourcenaustausch. Weitere Informationen finden Sie unter .
      Hinweis:
      Nur der Rollentyp wird mit der Verschlüsselung auf Spaltenebene unterstützt. Alle anderen Typen sind mit Verschlüsselung auf Spaltenebene Enterpriseverfügbar.
      Zielbereich Feld ist als Bezeichner für den Umfangstyp sichtbar. Bezieht sich auf die Funktionalität für die Richtlinie. Wählen Sie die Anwendungen aus dem Suchmenü aus.
      Hinweis:
      Der Zielbereich wird nicht unterstützt und kann nur mit festgelegt werden Verschlüsselung auf Spaltenebene Enterprise
      Zielrolle Das Feld ist als Bezeichner für den Rollentyp sichtbar. Rolle, für die diese Richtlinie gilt.
      Skripttabelle

      Zielskript

      Diese Felder werden angezeigt, wenn Sie Skript als Typ auswählen.

      Feld ist als Bezeichner für den Skripttyp sichtbar. Wählen Sie eine Tabelle aus, für die diese Richtlinie gilt. Dokument, für das diese Richtlinie gilt. Wählen Sie den Tabellennamen und dann das zugehörige Dokument für die Richtlinie aus.

      Wenn ein Skript ein kryptografisches Modul zum ersten Mal aufruft, wird der Zugriff auf das Modul verweigert, und der Entwickler erhält eine Fehlermeldung. Dieser Fehler gibt dem Modulbesitzer die Möglichkeit, den Zugriff auf das Modul zu gewähren oder zu verweigern.

      Ressourcenaustausch:

      • Krypto-Spezifikation
      • Genehmigungstyp
      • Zielinstanz-Host

      Diese Optionen werden angezeigt, wenn Sie als Typ auswählen.

      Ressourcenaustausch wird sowohl von KMF als auch von unterstützt, wenn das übergeordnete Modul column_level_encryptionist.

      Wählen Sie die Krypto-Spezifikation, „Einmalig“ oder „Wiederkehrend“ und die URL der Zielinstanz aus. Weitere Informationen finden Sie unter .
      Identitätswechsel In rollenbasierten Modulzugriffsrichtlinien können Benutzer mithilfe einer Identitätswechselsitzung auf verschlüsselte Daten zugreifen. Wenn Benutzer, z. B. Administratoren, die Identität anderer Benutzer annehmen, werden diese Modulzugriffsrichtlinien mit aktivierter Identität angewendet.
      Zweck angeben Wählen Sie diese Option aus, um das Feld Krypto-Spezifikation als verfügbares Feld für die Richtlinie umzuschalten.
      Aktiv Wählen Sie diese Option aus, um die Richtlinie zu aktivieren.
      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      • StrictReject lehnt den Zugriff unter allen Umständen ab.
      • Ablehnen weist Anwender mit der Zielrolle oder dem Zielbereich zurück, auf dieses kryptografische Modul zuzugreifen, es sei denn, eine andere Richtlinie gewährt ihnen Zugriff.
      • Verfolgen Sie, um den Zugriff zuzulassen und die Verwendung des Moduls zu überwachen.
    4. Wählen Sie Absenden.
      Warnung:
      Für Benutzer mit Unterstützung der Legacy-Verschlüsselung:
      Wenn Sie die Nicht-Enterprise-Version von Verschlüsselung auf Spaltenebene verwenden, sind Sie auf fünf Module beschränkt. Wenn Sie diese Grenze überschritten haben, erhalten Sie die folgende Warnung:
      Diese Einfügung überschreitet den Grenzwert für die Anzahl von veröffentlichten Modulen für die Verschlüsselung auf Spaltenebene, der für das Abonnementprodukt berechtigt ist. Für zusätzliche Module ist das Enterprise-Abonnement für die Verschlüsselung auf Spaltenebene erforderlich. Wenden Sie sich an Ihr Account-Team.
    5. Wählen Sie den Richtliniennamen aus, der dem kryptografischen Modul zugeordnet ist, das Sie untersuchen möchten.
      Verwenden der Modulzugriffsrichtlinie vom Typ „Skript“:

      Eine Modulzugriffsrichtlinie wird basierend auf der Standardzugriffseinstellung automatisch generiert, wenn das Skript ausgeführt wird. Dem Modulnamen wird AutoGen-vorangestellt. Beispielsweise wird das Modul Module-TestPolicy als AutoGen-Module-TestPolicy in der Spalte Richtlinienname aufgeführt.

      Im Formular „Kryptografische Anruferrichtlinie“ wird die von Ihnen ausgewählte Anruferrichtlinie aufgelistet. Das Feld Zielumfang gibt den Umfang des Skripts an, das versucht, das Modul zu verwenden. Weitere Informationen finden Sie unter.

      Hinweis:
      Mit der Verschlüsselung auf Spaltenebene sind maximal fünf Modulzugriffsrichtlinien zulässig. Konfigurationsoptionen finden Sie unter.