Créer une politique de cycle de vie du module de chiffrement
Créez une politique de cycle de vie des modules de chiffrement pour imposer des limites aux modules de chiffrement, telles que la durée de validité de la clé. Créez des politiques pour protéger les modules cryptographiques en limitant leur exposition.
Avant de commencer
Rôle requis : sn_kmf.cryptographic_manager
Pourquoi et quand exécuter cette tâche
Une politique de cycle de vie de module de chiffrement est une politique au niveau de l’instance. Plus une clé cryptographique est exposée, plus elle est susceptible d’être compromise. Protégez les clés en limitant la durée d’utilisation des clés et les personnes qui peuvent les utiliser.
Les fonctionnalités suivantes régissent les modules de chiffrement :
Les politiques d’instance définissent les limites de l’instance. Par exemple, si vous spécifiez dans une stratégie d’instance que la date d’expiration ne doit jamais être postérieure à plus de deux ans après la date d’activation, vous ne pouvez pas utiliser les règles de cycle de vie pour définir une date d’expiration de cinq ans après la date d’activation.
Les modèles de cycle de vie des instances vous permettent de définir différentes politiques pour différentes clés. Les modèles offrent des règles de cycle de vie par défaut pour les modules de chiffrement afin qu’ils n’aient pas à être recréés pour chaque module. Par exemple, vous pouvez définir des dates d’expiration différentes pour les clés de chiffrement de données symétriques et pour les clés d’encapsulation de clé publique.
Les règles de cycle de vie affectent directement les clés. Par exemple, si vous spécifiez dans les règles de cycle de vie que la date d’expiration doit être deux ans après la date d’activation, les clés expireront deux ans après la date d’activation.
Procédure
Que faire ensuite
Si vous souhaitez ajouter des exceptions à cette politique de cycle de vie au niveau du module, reportez-vous à la section Créer des exceptions de politique de cycle de vie du module.