Erstellen Sie eine Modulzugriffsrichtlinie

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Erstellen Sie Modulzugriffsrichtlinien, um zu entscheiden, welche Anwender und Skripts auf Daten zugreifen können, die von einem kryptografischen Modul verschlüsselt werden.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_Manager oder sn_kmf.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Feldverschlüsselung Unterstützt rollenbasierte Modulzugriffsrichtlinien und zusätzliche Konfigurationsoptionen werden mit verfügbar CLE_Ent) Funktionalität.
    • Konfigurieren Sie den spezifischen kryptografischen Vorgang in Modulzugriffsrichtlinien für kryptografische Module, die symmetrische Vorgänge unterstützen. Beispielsweise kann ein Anwender Daten verschlüsseln, aber nicht Daten entschlüsseln.
    • Legen Sie einen standardmäßigen Modulzugriffsrichtlinienwert oder gemäß einem kryptografischen Modul fest.
    • Ordnen Sie Skriptversionen zu, in denen Änderungen am Skript nachverfolgt werden, und machen die Skriptrichtlinie ungültig, was eine bessere Sicherheit für Skripttyp-Modulzugriffsrichtlinien bietet.
    CLE_Ent Die Funktionalität ist mit einem kostenpflichtigen Abonnement verfügbar. Informationen zu unterstützten Funktionen und Optionen, die für jedes Angebot verfügbar sind, finden Sie unter . Weitere Informationen finden Sie unter Feldverschlüsselung Enterprise.
    Hinweis:
    Das Standardverhalten der Modulzugriffsrichtlinien (Maps) ist „Ablehnen“, um nicht autorisierten Zugriff zu verhindern, es sei denn, dies ist explizit in KARTENDATENSÄTZEN deklariert.

    Prozedur

    1. Navigieren zu Alle > Schlüsselverwaltung > Modulzugriffsrichtlinien > Alle .
      Wenn Sie kein kryptografisches Modul erstellen, das für die symmetrische Datenverschlüsselung/-Entschlüsselung konfiguriert ist, wird eine automatisch generierte Modulzugriffsrichtlinie erstellt und in der Tabelle aufgeführt.
    2. Wählen Sie Neu.
      • Wählen Sie Aus Geben Sie den Zweck an Um einen auszuwählen Krypto-Spezifikation Und legen Sie fest Granularer Vorgang .Wenn Sie das Kontrollkästchen Zweck angeben aktivieren, sind kryptografische Spezifikationsfelder verfügbar.
      • Mit kryptografischen Spezifikationen für die symmetrische Datenverschlüsselung/-Entschlüsselung und das symmetrische Wrapping/-Entpacken Granularer Vorgang Das Feld ist verfügbar, wenn Sie auswählen Geben Sie den Zweck an Kontrollkästchen.

        Granulare Vorgangsliste.

    3. Füllen Sie das Formular aus.
      Felder für Modulzugriffsrichtlinien
      Feld Beschreibung
      Richtlinienname Geben Sie einen Namen für die Richtlinie ein.
      Krypto-Modul Wählen Sie das Suchsymbol ( Suchsymbol.), um ein Modul auszuwählen.
      Krypto-Spezifikation Wählen Sie beim Generieren der Modulzugriffsrichtlinie eine kryptografische Spezifikation aus, oder erstellen Sie sie. Dieses Feld wird verfügbar, wenn Geben Sie den Zweck an Das Kontrollkästchen ist aktiviert.
      Granularer Vorgang Wählen Sie den kryptografischen Zweck für die kryptografische Spezifikation aus. Die verfügbaren Werte hängen vom Typ der ausgewählten kryptografischen Spezifikation ab.

      Weitere Informationen zu Krypto-Zwecken finden Sie unter .
      Typ
      • Umfang : Steuert den Zugriff nach Anwendungsbereich.
      • Systemanwender : Ermöglicht Systemanwendern den Zugriff auf Krypto-Module.
      • Skript : Zugriff nach Skript steuern. Weitere Informationen finden Sie unter
      • Rolle : Steuert den Zugriff nach Anwenderrolle.
      • Ressourcenaustausch : Steuern Sie den Zugriff mit Ressourcenaustausch. Weitere Informationen finden Sie unter .
      Hinweis:
      Nur der Rollentyp wird mit unterstützt Feldverschlüsselung. Alle anderen Typen sind mit verfügbar Feldverschlüsselung Enterprise.
      Zielbereich Feld ist als Bezeichner für sichtbar Umfang Typ. Bezieht sich auf die Funktionalität für die Richtlinie. Wählen Sie die Anwendungen im Suchmenü aus.
      Hinweis:
      Der Zielbereich wird nicht unterstützt und kann nur mit festgelegt werden Feldverschlüsselung Enterprise
      Zielrolle Feld ist als Bezeichner für sichtbar Rolle Typ. Rolle, für die diese Richtlinie gilt.
      Skripttabelle

      Zielskript

      Diese Felder werden angezeigt, wenn Sie auswählen Skript Als Typ.

      Feld ist als Bezeichner für sichtbar Skript Typ. Wählen Sie eine Tabelle aus, für die diese Richtlinie gilt. Dokument, für das diese Richtlinie gilt. Wählen Sie aus Tabellenname Und dann das zugehörige Dokument für die Richtlinie.

      Wenn ein Skript zum ersten Mal ein kryptografisches Modul aufruft, wird der Zugriff auf das Modul verweigert, und der Entwickler erhält einen Fehler. Dieser Fehler gibt dem Modulbesitzer die Möglichkeit, den Zugriff auf das Modul zu gewähren oder zu verweigern.

      Ressourcenaustausch:

      • Krypto-Spezifikation
      • Genehmigungstyp
      • Zielinstanz-Host

      Diese Optionen werden angezeigt, wenn Sie als Typ auswählen.

      Ressourcenaustausch Wird sowohl von KMF als auch von unterstützt, wenn das übergeordnete Modul ist Column_level_Encryption .

      Wählen Sie die Krypto-Spezifikation, einmalig oder wiederkehrend und die URL der Zielinstanz aus. Weitere Informationen finden Sie unter .
      Identitätswechsel In rollenbasierten Modulzugriffsrichtlinien können Anwender über eine Identitätswechsel-Sitzung auf verschlüsselte Daten zugreifen. Wenn Anwender, z. B. Administratoren, die Identität anderer Anwender annehmen, werden solche Modulzugriffsrichtlinien mit Identitätswechsel angewendet.
      Zweck angeben Wählen Sie diese Option aus, um das Feld kryptografische Spezifikation als verfügbares Feld für die Richtlinie umzuschalten.
      Aktiv Wählen Sie diese Option aus, um die Richtlinie zu aktivieren.
      Ergebnis Wählen Sie eine der folgenden Optionen aus:
      • StrictAblehnen Lehnt den Zugriff unter allen Umständen ab.
      • Ablehnen Lehnt Anwender mit ab Zielrolle Oder Zielbereich Von Zugriff auf dieses kryptografische Modul, es sei denn, eine andere Richtlinie gewährt ihnen Zugriff.
      • Nachverfolgen Um den Zugriff auf das Modul zu ermöglichen und die Verwendung zu überwachen.
    4. Wählen Sie Absenden.
      Warnung:
      Für Anwender mit Legacy-Verschlüsselungsunterstützung:
      Wenn Sie die nicht-Enterprise-Version von verwenden Feldverschlüsselung, Sie sind auf fünf Module beschränkt. Wenn Sie diesen Grenzwert überschritten haben, erhalten Sie die folgende Warnung:
      Diese Einfügung überschreitet die Anzahl der veröffentlichten Module, die für zulässig sind Feldverschlüsselung Berechtigt für das Abonnementprodukt. Das Enterprise-Abonnement für Feldverschlüsselung Ist für zusätzliche Module erforderlich. Wenden Sie sich an Ihr Account-Team.
    5. Wählen Sie den Richtliniennamen aus, der dem kryptografischen Modul zugeordnet ist, das Sie untersuchen möchten.
      Zugriffsrichtlinie für Skripttyp-Modul verwenden:

      Eine Modulzugriffsrichtlinie wird basierend auf der Standardzugriffseinstellung automatisch generiert, wenn das Skript ausgeführt wird. Dem Modulnamen ist vorangestellt Autogen- . Zum Beispiel die Modul – Testrichtlinie Modul ist als aufgeführt Autogen-Modul-Testrichtlinie In der Spalte Richtlinienname.

      Im Formular kryptografische Anruferrichtlinie wird die von Ihnen ausgewählte Anruferrichtlinie aufgelistet. Das Feld Zielbereich gibt den Umfang des Skripts an, das versucht, das Modul zu verwenden. Weitere Informationen finden Sie unter .

      Hinweis:
      Mit sind maximal fünf Modulzugriffsrichtlinien zulässig Feldverschlüsselung. Konfigurationsoptionen finden Sie unter .