Erstellen Sie eine Modulzugriffsrichtlinie

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Erstellen Sie Modulzugriffsrichtlinien, um zu entscheiden, welche Benutzer und Skripts auf Daten zugreifen können, die von einem kryptografischen Modul verschlüsselt wurden.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_manager oder sn_kmf.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Feldverschlüsselung unterstützt rollenbasierte Modulzugriffsrichtlinien, und zusätzliche Konfigurationsoptionen werden mit der Funktionalität von (CLE_Ent) verfügbar.
    • Konfigurieren Sie den spezifischen kryptografischen Vorgang in Modulzugriffsrichtlinien für kryptografische Module, die symmetrische Vorgänge unterstützen. Beispielsweise kann ein Benutzer zum Verschlüsseln von Daten, aber nicht zum Entschlüsseln von Daten aktiviert werden.
    • Legen Sie einen Standardwert für die Modulzugriffsrichtlinie oder einen Wert gemäß einem kryptografischen Modul fest.
    • Ordnen Sie Skriptversionen zu, in denen Änderungen am Skript nachverfolgt werden, und machen Sie die Skriptrichtlinie ungültig, um die Sicherheit für Modulzugriffsrichtlinien vom Typ Skript zu verbessern.
    CLE_Ent -Funktionen sind mit einem kostenpflichtigen Abonnement verfügbar. Informationen zu den unterstützten Funktionen und Optionen, die für die einzelnen Angebote verfügbar sind, finden Sie unter. Weitere Informationen finden Sie unter Feldverschlüsselung Enterprise.
    Hinweis:
    Das Standardverhalten der Modulzugriffsrichtlinien (Module Access Policies, MAPs) ist Ablehnen, um jeden nicht autorisierten Zugriff zu verhindern, sofern dies nicht ausdrücklich in den MAP-Datensätzen angegeben wurde.

    Prozedur

    1. Navigieren zu Alle > Schlüsselverwaltung > Modulzugriffsrichtlinien > Alle.
      Wenn Sie kein kryptografisches Modul erstellen, das für die symmetrische Datenverschlüsselung/-entschlüsselung konfiguriert ist, wird eine automatisch generierte Modulzugriffsrichtlinie erstellt und in der Tabelle aufgeführt.
    2. Wählen Sie Neu.
      • Wählen Sie Zweck angeben aus, um eine Krypto-Spezifikation auszuwählen und den Granularen Vorgangfestzulegen.Wenn Sie das Kontrollkästchen Zweck angeben aktivieren, sind Felder für die kryptografische Spezifikation verfügbar.
      • Mit den kryptografischen Spezifikationen für symmetrische Datenverschlüsselung/-entschlüsselung und symmetrisches Packen/Entpacken ist das Feld Granularer Vorgang verfügbar, wenn Sie das Kontrollkästchen Zweck angeben aktivieren.

        Granulare Vorgangsliste.

    3. Füllen Sie das Formular aus.
      Felder „Modulzugriffsrichtlinien“
      Feld Beschreibung
      Richtlinienname Geben Sie einen Namen für die Richtlinie ein.
      Crypto-Modul Wählen Sie das Suchsymbol ( Suchsymbol.), um ein Modul auszuwählen.
      Krypto-Spezifikation Wählen Sie die kryptografische Spezifikation aus, oder erstellen Sie sie, während Sie die Modulzugriffsrichtlinie generieren. Dieses Feld wird verfügbar, wenn das Kontrollkästchen Zweck angeben aktiviert ist.
      Granularer Vorgang Wählen Sie den kryptografischen Zweck für die kryptografische Spezifikation aus. Die verfügbaren Werte hängen vom Typ der ausgewählten kryptografischen Spezifikation ab.

      Weitere Informationen zu Krypto-Zwecken finden Sie unter.
      Typ
      • Bereich: Steuert den Zugriff nach Anwendungsbereich.
      • Systemanwender: Ermöglicht Systemanwendern den Zugriff auf Krypto-Module.
      • Skript: Steuerung des Zugriffs nach Skript. Weitere Informationen finden Sie unter
      • Rolle: Steuert den Zugriff nach Anwenderrolle.
      • Ressourcenaustausch: Steuern Sie den Zugriff mit Ressourcenaustausch. Weitere Informationen finden Sie unter .
      Hinweis:
      Mit Feldverschlüsselungwird nur der Rollentyp unterstützt. Alle anderen Typen sind mit Feldverschlüsselung Enterpriseverfügbar.
      Zielbereich Feld ist als Bezeichner für den Umfangstyp sichtbar. Bezieht sich auf die Funktionalität für die Richtlinie. Wählen Sie die Anwendungen aus dem Suchmenü aus.
      Hinweis:
      Der Zielbereich wird nicht unterstützt und kann nur mit festgelegt werden Feldverschlüsselung Enterprise
      Zielrolle Das Feld ist als Bezeichner für den Rollentyp sichtbar. Rolle, für die diese Richtlinie gilt.
      Skripttabelle

      Zielskript

      Diese Felder werden angezeigt, wenn Sie Skript als Typ auswählen.

      Feld ist als Bezeichner für den Skripttyp sichtbar. Wählen Sie eine Tabelle aus, für die diese Richtlinie gilt. Dokument, für das diese Richtlinie gilt. Wählen Sie den Tabellennamen und dann das zugehörige Dokument für die Richtlinie aus.

      Wenn ein Skript ein kryptografisches Modul zum ersten Mal aufruft, wird der Zugriff auf das Modul verweigert, und der Entwickler erhält eine Fehlermeldung. Dieser Fehler gibt dem Modulbesitzer die Möglichkeit, den Zugriff auf das Modul zu gewähren oder zu verweigern.

      Ressourcenaustausch:

      • Krypto-Spezifikation
      • Genehmigungstyp
      • Zielinstanz-Host

      Diese Optionen werden angezeigt, wenn Sie als Typ auswählen.

      Ressourcenaustausch wird sowohl von KMF als auch von unterstützt, wenn das übergeordnete Modul column_level_encryptionist.

      Wählen Sie die Krypto-Spezifikation, „Einmalig“ oder „Wiederkehrend“ und die URL der Zielinstanz aus. Weitere Informationen finden Sie unter .
      Identitätswechsel In rollenbasierten Modulzugriffsrichtlinien können Benutzer mithilfe einer Identitätswechselsitzung auf verschlüsselte Daten zugreifen. Wenn Benutzer, z. B. Administratoren, die Identität anderer Benutzer annehmen, werden diese Modulzugriffsrichtlinien mit aktivierter Identität angewendet.
      Zweck angeben Wählen Sie diese Option aus, um das Feld „Kryptografische Spezifikation“ als verfügbares Feld für die Richtlinie umzuschalten.
      Aktiv Wählen Sie diese Option aus, um die Richtlinie zu aktivieren.
      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      • StrictReject lehnt den Zugriff unter allen Umständen ab.
      • Ablehnen weist Anwender mit der Zielrolle oder dem Zielbereich zurück, auf dieses kryptografische Modul zuzugreifen, es sei denn, eine andere Richtlinie gewährt ihnen Zugriff.
      • Verfolgen Sie, um den Zugriff zuzulassen und die Verwendung des Moduls zu überwachen.
    4. Wählen Sie Absenden.
      Warnung:
      Für Benutzer mit Unterstützung der Legacy-Verschlüsselung:
      Wenn Sie die Nicht-Enterprise-Version von Feldverschlüsselungverwenden, sind Sie auf fünf Module beschränkt. Wenn Sie diese Grenze überschritten haben, erhalten Sie die folgende Warnung:
      Diese Einfügung überschreitet die Anzahl der veröffentlichten Module, die für Feldverschlüsselung mit dem Abonnementprodukt berechtigt sind. Für zusätzliche Module ist das Enterprise-Abonnement für Feldverschlüsselung erforderlich. Wenden Sie sich an Ihr Account-Team.
    5. Wählen Sie den Richtliniennamen aus, der dem kryptografischen Modul zugeordnet ist, das Sie untersuchen möchten.
      Verwenden der Modulzugriffsrichtlinie vom Typ „Skript“:

      Eine Modulzugriffsrichtlinie wird basierend auf der Standardzugriffseinstellung automatisch generiert, wenn das Skript ausgeführt wird. Dem Modulnamen wird AutoGen-vorangestellt. Beispielsweise wird das Modul Module-TestPolicy als AutoGen-Module-TestPolicy in der Spalte Richtlinienname aufgeführt.

      Im Formular „Kryptografische Anruferrichtlinie“ wird die von Ihnen ausgewählte Anruferrichtlinie aufgelistet. Das Feld Zielumfang gibt den Umfang des Skripts an, das versucht, das Modul zu verwenden. Weitere Informationen finden Sie unter.

      Hinweis:
      Mit Feldverschlüsselungsind maximal fünf Modulzugriffsrichtlinien zulässig. Konfigurationsoptionen finden Sie unter.