Konfigurieren Sie Modulzugriffsrichtlinien für die Feldverschlüsselung

  • Freigeben Version: Yokohama
  • Aktualisiert 31. Januar 2025
  • 4 Minuten Lesedauer

    • Erstellen Sie eine -Modulzugriffsrichtlinie, um zu steuern, welche Benutzer, Skripts oder Systemprozesse von einem Feldverschlüsselungsmodul verschlüsselte Daten verschlüsseln oder entschlüsseln können.

    Vorbereitungen

    Erforderliche Rolle: KMF-Administrator oder KMF Cryptografischer Manager, Sicherheitsadministrator

    Um diesen Prozess verwenden zu können, benötigen Sie ein veröffentlichtes Feldverschlüsselungsmodul. Wenn Sie dies noch nicht getan haben, lesen Sie Konfigurieren Sie Feldverschlüsselung -Module.

    Warum und wann dieser Vorgang ausgeführt wird

    Modulzugriffsrichtlinien (Module Access Policies, MAPs) sind die Zugriffssteuerungen, die Sie auf Ihre Feldverschlüsselungsmodule anwenden, um zu definieren, welche Benutzer, Skripts oder Systemprozesse Daten verschlüsseln oder entschlüsseln können. Konfigurieren Sie Zuordnungen für Benutzer (über Rollen), Skripts oder Prozesse, die im Kontext „System“ ausgeführt werden. Ohne eine MAP können Benutzer, Skripts oder Systemprozesse Daten nicht verschlüsseln oder entschlüsseln, was dazu führen kann, dass End-to-End-Workflows nicht ordnungsgemäß funktionieren.

    MAPs sind von Zugriffssteuerungslisten (ACL) getrennt, können jedoch in Kombination mit ihnen verwendet werden. Weitere Informationen zum Zweck von MAPs finden Sie unter Feldverschlüsselung erkunden.

    Überprüfen Sie für Feldverschlüsselung Enterprise, um zu planen, für welche Anwender, Skripts oder Systemprozesse eine Zuordnung erforderlich ist.

    Prozedur

    1. Navigieren zu Alle > Schlüsselverwaltung > Modulzugriffsrichtlinien > Alle.
    2. Wählen Sie Neu.
    3. Füllen Sie im Formular „Modulzugriffsrichtlinie“ die Felder nach Bedarf aus.
      Feld Beschreibung
      Richtlinienname Name Ihrer Zuordnung
      Krypto-Modul Wählen Sie das Feldverschlüsselungsmodul aus, das von dieser Zuordnung gesteuert werden soll.
      Krypto-Spezifikation Optional. Wählen Sie eine neue kryptografische Spezifikation für diese Zuordnung aus, oder erstellen Sie eine neue.

      Dieses Feld wird nur angezeigt, wenn das Feld Zweck angeben aktiviert ist.
      Typ Entscheiden Sie, wer oder was Zugriff auf diese Zuordnung haben soll, um Daten zu verschlüsseln oder zu entschlüsseln.
      Umfang
      Alles innerhalb des angegebenen Anwendungsbereichs hat Zugriff auf diese Zuordnung.
      Rolle
      Nur Anwender mit der spezifischen Rolle können auf diese Zuordnung zugreifen.
      Skript
      Stellt sicher, dass ein angegebenes Skript auf diese Zuordnung zugreifen kann.
      Systemzugriff
      Ermöglicht Prozessen, die im „Systemkontext“ ausgeführt werden, den Zugriff auf diese Zuordnungsrichtlinie.
      Ressourcenaustausch
      Ermöglicht der Ressourcenaustauschfunktion den Zugriff auf diese Zuordnung.

      Weitere Informationen zur Funktionsweise der verschiedenen MAP-Typen finden Sie unter Feldverschlüsselung erkunden.
      Zielbereich Wählen Sie einen Bereich aus, für den diese Zuordnung gilt.

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Bereichfestgelegt ist.
      Geben Sie den Zweck an Optional. Aktivieren Sie diese Option, um das Feld „Krypto-Spezifikation“ im Formular anzuzeigen. Aktivieren Sie diese Option, um granulare Vorgänge zu konfigurieren, z. B. dass einige Anwender verschlüsseln, aber nicht entschlüsseln können.
      Granularer Vorgang Optional. Wählen Sie den kryptografischen Zweck für die Krypto-Spezifikation aus. Die verfügbaren Werte hängen vom Typ der ausgewählten Krypto-Spezifikation ab.

      Sie können beispielsweise festlegen, dass Anwender mit dieser Zugriffsrichtlinie nur verschlüsseln, aber nicht entschlüsseln können, oder das Gegenteil oder beides.

      Dieses Feld wird nur angezeigt, wenn im Feld Krypto-Spezifikation ein Wert angegeben ist.
      • Wenn ein Benutzer über Verschlüsselungszugriff, aber keinen Entschlüsselungszugriff verfügt, wird das Feld im Bearbeitungsmodus angezeigt, und die eingegebenen Daten werden als Sternchen angezeigt.
      • Wenn ein Benutzer über Entschlüsselungszugriff, aber nicht über Verschlüsselungszugriff verfügt, zeigt das Feld die entschlüsselten Daten im schreibgeschützten Modus an.
      • Wenn ein Benutzer über Verschlüsselungs- und Entschlüsselungszugriff verfügt, sind für das verschlüsselte Feld sowohl Lese- als auch Schreibfunktionen verfügbar.
      Zielrolle Wählen Sie aus, welche Rolle Zugriff auf diese Zuordnung haben soll.

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Rollefestgelegt ist
      Skripttabelle Wählen Sie aus, welcher Skripttyp für diese Zuordnung gilt:
      • Zugriffssteuerung
      • Aktivitätsdesigner
      • Business-Regel
      • Aktion für eingehende E-Mails
      • Datensatzersteller
      • Geplante Skriptausführung
      • Skripteinbindung
      • UI-Aktion
      • Widget
      • Workflow-Aktivität

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Skriptfestgelegt ist.
      Zielskript Wählen Sie das spezifische Skript der im Feld Skripttabelle ausgewählten Typtabelle aus, die Zugriff auf diese Zuordnung haben soll.

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Skriptfestgelegt ist.

      Überprüfen Sie die Skriptversion Wenn diese Option ausgewählt ist, prüft das System die Version des Skripts, das mit der im Feld Zielskript angegebenen Version ausgeführt wird. Wenn sich die Versionen unterscheiden, wird der Administrator benachrichtigt.

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Skriptfestgelegt ist.

      Freigabetyp Wählen Sie entweder Einmal oder Wiederkehrendaus:
      Einmal
      Ermöglicht, dass der symmetrische Datenverschlüsselungsschlüssel im zugehörigen Feldverschlüsselungsmodul einmal sicher für die Zielinstanz freigegeben wird.
      Wiederkehrend
      Ermöglicht, dass der symmetrische Datenverschlüsselungsschlüssel im zugehörigen Feldverschlüsselungsmodul in regelmäßigen Abständen sicher für die Zielinstanz freigegeben wird.

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Ressourcenaustauschfestgelegt ist.

      Zielinstanz-Host Geben Sie die URL für die Zielinstanz ein, an die der symmetrische Datenverschlüsselungsschlüssel im zugehörigen Feldverschlüsselungsmodul gesendet wird.

      Dieses Feld wird nur angezeigt, wenn das Feld Typ auf Ressourcenaustauschfestgelegt ist.

      Identitätswechsel Wenn diese Option aktiviert ist, erhält ein Anwender, der die Identität eines anderen Anwenders annimmt, die MAP-Berechtigungen von beiden Anwendern. Wenn diese Option deaktiviert ist, verfügt ein Anwender, der die Identität eines anderen Anwenders annimmt, nur über die MAP-Berechtigungen, die ihm vor dem Identitätswechsel gewährt wurden.
      Aktiv Aktivieren Sie diese Option, um diese Zuordnung zu aktivieren.
      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      Titel
      Ermöglicht den Zugriff und überwacht die Verwendung der MAP.
      Ablehnen
      Lehnt den Zugriff ab, es sei denn, eine andere MAP gewährt Zugriff.
      StrictReject
      Lehnt den Zugriff unter allen Umständen ab, auch wenn eine andere MAP den Zugriff gewährt.
    4. Wählen Sie Absenden.