Créer une politique d’accès au module

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Créez des politiques d’accès au module pour limiter le chiffrement ou le déchiffrement des données.

    Avant de commencer

    Rôle requis : sn_kmf.cryptographic_manager ou sn_kmf.admin

    Pourquoi et quand exécuter cette tâche

    Column Level Encryption (CLE) prend en charge les politiques d’accès au module basées sur les rôles et des options de configuration supplémentaires deviennent disponibles avec la fonctionnalité (CLE_Ent).
    • Configurez l’opération de chiffrement spécifique dans les politiques d’accès au module pour les modules de chiffrement qui prennent en charge les opérations symétriques. Par exemple, un utilisateur peut être autorisé à chiffrer des données, mais pas à déchiffrer des données.
    • Définissez une valeur de politique d’accès au module par défaut par module ou module de chiffrement.
    • Associez les versions de script pour lesquelles les modifications apportées au script sont suivies et invalidez la stratégie de script, ce qui permet d’améliorer la sécurité des politiques d’accès au module de type script.
    CLE_Ent Cette fonctionnalité est disponible avec un abonnement payant. Consultez les fonctionnalités et options prises en charge disponibles avec chaque offre. Pour plus d'informations, consultez Entreprise de Chiffrement au niveau des colonnes.
    Remarque :
    Le comportement par défaut des politiques d’accès au module (MAP) est Rejeter pour empêcher tout accès non autorisé, sauf s’il est explicitement déclaré dans les enregistrements MAP.

    Procédure

    1. Accédez à la Tous > Gestion des clés > Politiques d'accès au module > Tous.
      Si vous ne créez pas de module cryptographique configuré pour le chiffrement/déchiffrement symétrique des données, une politique d’accès au module générée automatiquement est créée et répertoriée dans la table.
    2. Cliquez sur Nouveau.
      • Sélectionnez Spécifier l’objectif pour choisir une spécification de chiffrement et définir l’opération Granulaire.Lorsque vous cochez la case Spécifier l’objectif, les champs de spécification de chiffrement sont disponibles.
      • Avec les spécifications de chiffrement pour le chiffrement/déchiffrement symétrique des données et l’encapsulation/désencapsulation symétrique, le champ Opération granulaire est disponible si vous cochez la case Spécifier l’objectif .

        Liste granulaire des opérations.

    3. Complétez le formulaire.
      Champs des politiques d’accès au module
      Champ Description
      Nom de la stratégie Entrez un nom pour la politique.
      Module de chiffrement Cliquez sur l’icône de recherche ( icône de recherche.) pour sélectionner un module.
      Spécification du chiffrement Sélectionnez ou créez une spécification de chiffrement lors de la génération de la politique d’accès au module. Ce champ devient disponible lorsque la case Spécifier l’objectif est cochée.
      Opération granulaire Sélectionnez l’objectif cryptographique de la spécification cryptographique. Les valeurs disponibles dépendent du type de spécification cryptographique sélectionné.

      Voir Objectif cryptographique, algorithmes et informations clés pour plus de détails sur les objectifs de cryptographie.
      Type
      Remarque :
      Seul le type de rôle est pris en charge avec Column Level Encryption. Tous les autres types sont disponibles avec Entreprise de Chiffrement au niveau des colonnes.
      Périmètre cible Le champ est visible en tant qu’identificateur pour le type de champ d’application . Fait référence à la fonctionnalité de la politique. Sélectionnez les applications dans le menu de recherche.
      Remarque :
      Le champ d’application cible n’est pas pris en charge et ne peut être défini qu’avec Entreprise de Chiffrement au niveau des colonnes
      Rôle cible Le champ est visible en tant qu’identificateur pour le type de rôle . Rôle auquel cette politique s’applique.
      Table de scripts

      Script cible

      Ces champs s’affichent lorsque vous sélectionnez script comme type.

      Le champ est visible en tant qu’identificateur pour le type de script . Sélectionnez une table à laquelle cette politique s’applique. Document auquel cette politique s’applique. Sélectionnez le nom de la table, puis le document connexe pour la politique.

      La première fois qu’un script appelle un module de chiffrement, l’accès au module est refusé et le développeur reçoit une erreur. Cela donne au propriétaire du module la possibilité d’accorder ou de refuser l’accès au module.

      Échange de ressources :

      • Spécification de chiffrement
      • Type d'approbation
      • Hôte de l'instance cible

      Ces options s’affichent lorsque vous sélectionnez Resource Exchange le type.

      Resource Exchange est pris en charge à la fois par KMF et par Entreprise de Chiffrement au niveau des colonnes lorsque le module parent est column_level_encryption.

      Sélectionnez la spécification de chiffrement, ponctuelle ou récurrente, et l’URL de l’instance cible. Consultez Échange de ressources du cadre de travail de gestion de clés pour plus d'informations.
      Emprunt d'identité Dans les stratégies d’accès au module basées sur les rôles, les utilisateurs peuvent accéder à des données chiffrées à l’aide d’une session d’emprunt d’identité. Lorsque des utilisateurs, tels que des administrateurs, empruntent l’identité d’autres utilisateurs, ces politiques d’accès au module activées pour l’emprunt d’identité sont appliquées.
      Spécifier l'objectif Sélectionnez cette option pour activer/désactiver le champ de spécification de chiffrement en tant que champ disponible pour la politique.
      Actif Sélectionnez cette option pour activer la politique.
      Résultat Sélectionnez l'une des options suivantes :
      • StrictReject rejette l’accès dans toutes les circonstances.
      • Rejeter rejette les utilisateurs ayant le rôle cible ou le champ d’application cible de l’accès à ce module de chiffrement, à moins qu’une autre politique ne leur accorde l’accès.
      • Suivre pour autoriser l’accès et surveiller l’utilisation du module.
    4. Sélectionnez Envoyer.
      Avertissement :
      Pour les utilisateurs de l’assistance de chiffrement héritée :
      Si vous utilisez la version non entreprise de Column Level Encryption, vous êtes limité à cinq modules. Si vous avez dépassé cette limite, vous recevez l’avertissement suivant :
      Cette insertion dépasse le nombre de limites de modules publiés de Chiffrement au niveau des colonnes autorisées avec le produit d’abonnement. L’abonnement Entreprise à Column Level Encryption est requis pour les modules supplémentaires. Veuillez contacter l’équipe de votre compte.
    5. Sélectionnez le nom de politique associé au module de chiffrement que vous souhaitez examiner.
      À l’aide de la politique d’accès au module de type Script :

      Une politique d’accès au module est générée automatiquement en fonction du paramètre d’accès par défaut lors de l’exécution du script. Le nom du module est précédé de « AutoGen- ». Par exemple, le module « Module-TestPolicy » est répertorié comme « AutoGen-Module-TestPolicy » dans la colonne Nom de la stratégie.

      Le formulaire Politique d’appel de chiffrement répertorie la politique d’appelant que vous avez sélectionnée. Le champ Champ d’application cible spécifie le champ d’application du script qui tente d’utiliser le module. Consultez Configurer l’accès de script aux données chiffrées pour plus d'informations.

      Remarque :
      Un maximum de cinq politiques d’accès aux modules est autorisé avec Column Level Encryption. Consultez Offre groupée d’abonnements Chiffrement et gestion des clés les options de configuration.Message d’erreur pour le nombre maximal de modules créés dans CLE.