Débogueur de politique d’accès au module

Sécurité de la plate-forme Washington DC

Release

washingtondc

ft:locale

fr-FR

ft:publication_title

Sécurité de la plate-forme Washington DC

ft:clusterId

psec

bundleId

psec

workflow

Platform

Débogueur de politique d’accès au module

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

2 minutes de lecture

Utilisez le débogueur de politique d’accès au module pour examiner les informations de journalisation et comprendre pourquoi vos utilisateurs ont ou n’ont pas accès à un contexte de chiffrement.

Les politiques d’accès aux modules (MAP) définissent des contrôles au niveau de l’instance pour l’accès aux modules de chiffrement. Les appelants (par exemple, un utilisateur ou un script) ont besoin d’un accès explicite afin d’utiliser un module cryptographique pour le chiffrement et le déchiffrement. Il n’est pas toujours clair quelles MAP sont évaluées lorsque les appelants tentent d’accéder à un module cryptographique. Utilisez le débogueur pour voir quelles politiques sont évaluées lorsqu’un appelant tente d’accéder à un module de chiffrement et savoir pourquoi l’accès est accordé ou non.

Cet organigramme montre comment votre instance évalue les demandes d’accès à un module de chiffrement.

Organigramme montrant comment l’accès aux modules de chiffrement est évalué

Contrôler l’accès aux journaux de débogage

L’accès aux journaux de débogage d’accès au module est déterminé par rôle. Les utilisateurs disposant des sn_kmf.admin rôles et sn_kmf.cryptographic_manager ont toujours accès au débogueur. Accordez l’accès à d’autres rôles à l’aide de la glide.kmf.module_access_policies.debugger.authorized.roles propriété système. La valeur de cette propriété est une liste séparée par des virgules des rôles qui accèdent aux journaux de débogage.

Activer ou désactiver le débogueur

Pour activer les messages de journalisation de débogage pour les politiques d’accès au module, accédez à Tous > Diagnostics > Débogage de session > Débogage pour les politiques d'accès au module > .

Lorsque vous avez terminé le débogage, vous pouvez désactiver les messages de journalisation en accédant à Tous > Diagnostics > Débogage de session > Désactiver tout > .

Accéder aux journaux

Après avoir activé le débogage, accédez à une page qui déclenche une évaluation MAP pour afficher les journaux de débogage MAP. Les messages de débogage s’affichent en bas de la page.

Conseil :

Vous pouvez utiliser l’emprunt d’identité pour résoudre les problèmes d’accès pour d’autres utilisateurs. Pour en savoir plus sur l’emprunt d’identité, reportez-vous à Impersonating users. Pour afficher les journaux de débogage du point de vue d’un autre utilisateur, assurez-vous que le champ Emprunt d’identité est défini sur vrai dans vos politiques d’accès au module avec ce role type.

Dans cet exemple, un appelant appelle deux demandes d’accès au module cryptographique global.fuji . Un chiffrement symétrique, qui est accordé, et un déchiffrement symétrique, qui a été refusé.

Comprendre les entrées de journal

Les informations de débogage sont structurées à l’aide de ce format.

Cette première ligne affiche le module cryptographique recevant la demande d’accès.
Les lignes entre la première et la dernière ligne affichent les MAP évaluées dans l’ordre dans lequel elles ont été évaluées et incluent leur nom, leur type, leur cible, leur opération granulaire et leur résultat.
La dernière ligne affiche la décision de politique (le cas échéant) et le résultat de l’accès net pour l’appelant (si l’appelant bénéficie ou non de l’accès).

Chaque ligne commence par une icône qui indique son type de message.

Tableau 1. Icônes de message
Icône	Type de message
	Message d’information
	La politique d’accès au module accorde l’accès
	La politique d’accès au module refuse l’accès
	L’appelant se voit accorder un accès
	L’accès est refusé à l’appelant
	Aucune politique d’accès au module à évaluer

Exemples de journal de débogage

Message d’accès accordé
Message d’accès refusé
Accès refusé (aucune politique d’accès au module à évaluer
Accès refusé (privilèges insuffisants)