Debugger für Modulzugriffsrichtlinie

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

2 Minuten Lesedauer

Verwenden Sie den Debugger für Modulzugriffsrichtlinien, um Protokollierungsinformationen zu überprüfen und zu verstehen, warum Ihren Anwendern Zugriff auf einen Verschlüsselungskontext gewährt wird oder nicht.

Modulzugriffsrichtlinien (Maps) definieren Steuerungen auf Instanzebene für den Zugriff auf kryptografische Module. Anrufer (z. B. ein Anwender oder Skript) benötigen expliziten Zugriff, um ein kryptografisches Modul für die Verschlüsselung und Entschlüsselung zu verwenden. Verwenden Sie den Debugger, um zu sehen, welche Richtlinien ausgewertet werden, wenn ein Anrufer versucht, auf ein kryptografisches Modul zuzugreifen. Sie können auch den Debugger verwenden und erfahren, warum Zugriff gewährt wird oder nicht.

Dieses Flussdiagramm zeigt, wie Ihre Instanz Anforderungen für den Zugriff auf ein kryptografisches Modul auswertet.

Flussdiagramm, das zeigt, wie der Zugriff auf kryptografische Module ausgewertet wird

Steuern Sie den Zugriff auf die Debug-Protokolle

Der Zugriff auf die Debug-Protokolle des Modulzugriffs wird durch die Rolle bestimmt. Anwender mit sn_kmf.adminUnd sn_kmf.cryptographic_managerRollen haben Zugriff auf den Debugger. Gewähren Sie mithilfe von Zugriff auf andere Rollen glide.kmf.module_access_policies.debugger.authorized.rolesSystemeigenschaft. Der Wert dieser Eigenschaft ist eine kommagetrennte Liste von Rollen, die auf die Debug-Protokolle zugreifen.

Aktivieren oder deaktivieren Sie den Debugger

Um Debug-Protokollierungsnachrichten für Modulzugriffsrichtlinien zu aktivieren, navigieren Sie zu Alle > Diagnosen > Sitzung debuggen > Modulzugriffsrichtlinien debuggen > an.

Wenn Sie das Debugging abgeschlossen haben, können Sie die Protokollierungsnachrichten deaktivieren, indem Sie zu navigieren Alle > Diagnosen > Sitzung debuggen > Alle deaktivieren > an.

Greifen Sie auf die Protokolle zu

Navigieren Sie nach dem Aktivieren des Debugging zu einer Seite, die eine KARTENAUSWERTUNG auslöst, um die KARTEN-Debug-Protokolle anzuzeigen. Debug-Nachrichten werden unten auf der Seite angezeigt.

Tipp:

Sie können Identitätswechsel verwenden, um Probleme beim Zugriff für andere Anwender zu beheben. Weitere Informationen zum Identitätswechsel finden Sie unter Impersonating users. Um die Debug-Protokolle aus der Perspektive eines anderen Anwenders anzuzeigen, stellen Sie sicher, dass Ihre Modulzugriffsrichtlinien mit dem verwendet werden roleTyp hat Identitätswechsel Feld als festgelegt Wahr .

In diesem Beispiel ruft ein Anrufer zwei Zugriffsanforderungen auf Global.fuji Kryptografisches Modul. Eine symmetrische Verschlüsselung, die gewährt wird, und eine symmetrische Entschlüsselung, die verweigert wurde.

Protokolleinträge verstehen

Debugging-Informationen werden in diesem Format strukturiert.

In dieser ersten Zeile wird das kryptografische Modul angezeigt, das die Zugriffsanforderung empfängt.
Die Zeilen zwischen der ersten und der letzten Zeile zeigen die ausgewerteten Karten in der Reihenfolge an, in der sie ausgewertet wurden, und enthalten Namen, Typ, Ziel, granularen Vorgang und Ergebnis.
In der letzten Zeile werden die Richtlinienentscheidung (falls zutreffend) und das Nettozugriffsergebnis für den Anrufer angezeigt (ob dem Anrufer Zugriff gewährt wird).

Jede Zeile beginnt mit einem Symbol, das den Nachrichtentyp angibt.

Tabelle : 1. Nachrichtensymbole
Symbol	Nachrichtentyp
	Informationsmeldung
	Die Modulzugriffsrichtlinie gewährt Zugriff
	Die Modulzugriffsrichtlinie verweigert den Zugriff
	Anrufer erhält Zugriff
	Dem Anrufer wird der Zugriff verweigert
	Keine Modulzugriffsrichtlinie zum Auswerten vorhanden

Debug-Protokollbeispiele

Nachricht „Zugriff gewährt“
Nachricht „Zugriff verweigert“
Zugriff verweigert (keine Modulzugriffsrichtlinien zum Auswerten vorhanden
Zugriff verweigert (unzureichende Berechtigungen)