Créer une politique d’accès au module

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Créez des politiques d’accès au module pour limiter le chiffrement ou le déchiffrement des données.

    Avant de commencer

    Rôle requis : sn_kmf.cryptographic_manager ou sn_kmf.admin

    Pourquoi et quand exécuter cette tâche

    Chiffrement au niveau des colonnes (CLE) prend en charge les politiques d’accès au module basées sur les rôles et des options de configuration supplémentaires deviennent disponibles avec la fonctionnalité (CLE_Ent).
    • Configurez l’opération cryptographique spécifique dans les politiques d’accès au module pour les modules cryptographiques qui prennent en charge les opérations symétriques. Par exemple, un utilisateur peut être autorisé à chiffrer des données, mais pas à les déchiffrer.
    • Définissez une valeur de politique d’accès au module par défaut par module de chiffrement.
    • Associez les versions de script où les modifications apportées au script sont suivies et invalidez la politique de script, offrant ainsi une meilleure sécurité pour les politiques d’accès aux modules de type script.
    CLE_Ent cette fonctionnalité est disponible avec un abonnement payant. Consultez la rubrique pour connaître les fonctionnalités et options prises en charge disponibles avec chaque offre. Pour plus d'informations, consultez Entreprise de Chiffrement au niveau des colonnes.
    Remarque :
    Le comportement par défaut des politiques d’accès au module (MAP) est Rejeter pour empêcher tout accès non autorisé, sauf s’il est explicitement déclaré dans les enregistrements MAP.

    Procédure

    1. Accédez à la Tout > Gestion des clés > Politiques d'accès au module > Tous.
      Si vous ne créez pas de module cryptographique configuré pour le chiffrement/déchiffrement symétrique des données, une politique d’accès au module générée automatiquement est créée et répertoriée dans la table.
    2. Cliquez sur Nouveau.
      • Sélectionnez Spécifier l’objectif pour choisir une spécification de chiffrement et définir l’opération granulaire.Lorsque vous cochez la case Spécifier l’objectif, les champs de spécification de chiffrement sont disponibles.
      • Avec des spécifications cryptographiques pour le chiffrement/déchiffrement symétrique des données et l’encapsulation/désencapsulation symétrique, le champ Opération granulaire est disponible si vous cochez la case Spécifier l’objectif .

        Liste granulaire d’opérations.

    3. Renseignez le formulaire.
      Champs Politiques d’accès au module
      Champ Description
      Nom de la politique Donnez un nom à la politique.
      Module de chiffrement Cliquez sur l’icône de recherche ( icône de recherche.) pour sélectionner un module.
      Spécification du chiffrement Sélectionnez ou créez une nouvelle spécification cryptographique lors de la génération de la politique d’accès au module. Ce champ devient disponible lorsque la case Spécifier l’objectif est cochée.
      Opération granulaire Sélectionnez l’objectif de chiffrement pour la spécification de chiffrement. Les valeurs disponibles dépendent du type de spécification de chiffrement sélectionné.

      Voir pour plus de détails sur les objectifs de cryptographie.
      Type
      • Périmètre : contrôle l’accès par périmètre de l’application.
      • Utilisateur système : autorise l’accès des utilisateurs système aux modules de chiffrement.
      • Script : contrôler l’accès par script. Voir pour plus d’informations
      • Rôle : contrôle l’accès par rôle d’utilisateur.
      • Échange de ressources : contrôlez l’accès à l’aide du Resource Exchangefichier . Consultez pour plus d'informations.
      Remarque :
      Seul le type de rôle est pris en charge avec Chiffrement au niveau des colonnes. Tous les autres types sont disponibles avec Entreprise de Chiffrement au niveau des colonnes.
      Périmètre cible Le champ est visible en tant qu’identificateur pour le type de champ d’application . Fait référence à la fonctionnalité de la politique. Sélectionnez les applications dans le menu de recherche.
      Remarque :
      Le périmètre cible n’est pas pris en charge et ne peut être défini qu’avec Entreprise de Chiffrement au niveau des colonnes
      Rôle cible Le champ est visible en tant qu’identificateur pour le type de rôle . Rôle auquel cette politique s’applique.
      Table de scripts

      Script cible

      Ces champs s’affichent lorsque vous sélectionnez Script comme type.

      Le champ est visible en tant qu’identificateur pour le type de script . Sélectionnez une table à laquelle cette politique s’applique. Document auquel cette politique s’applique. Sélectionnez le nom de la table, puis le document connexe de la politique.

      La première fois qu’un script appelle un module cryptographique, l’accès au module est refusé et le développeur reçoit une erreur. Cette erreur donne au propriétaire du module la possibilité d’accorder ou de refuser l’accès au module.

      Échange de ressources :

      • Spécification du chiffrement
      • Type d'approbation
      • Hôte de l'instance cible

      Ces options s’affichent lorsque vous sélectionnez le type.

      Resource Exchange est pris en charge à la fois par KMF et par lorsque le module parent est column_level_encryption.

      Sélectionnez la spécification de chiffrement, ponctuelle ou récurrente, ainsi que l’URL de l’instance cible. Consultez pour plus d'informations.
      Emprunt d'identité Dans les politiques d’accès au module basées sur les rôles, les utilisateurs peuvent accéder à des données chiffrées à l’aide d’une session d’emprunt d’identité. Lorsque des utilisateurs, tels que des administrateurs, empruntent l’identité d’autres utilisateurs, ces politiques d’accès au module permettant l’emprunt d’identité sont appliquées.
      Spécifier l'objectif Sélectionnez cette option pour activer/désactiver le champ de spécification de chiffrement en tant que champ disponible pour la politique.
      Actif Sélectionnez cette option pour activer la politique.
      Résultat Sélectionnez l'une des options suivantes :
      • StrictReject rejette l’accès en toutes circonstances.
      • Le rejet rejette l’accèsà ce module de chiffrement à moins qu’une autre politique ne leur accorde l’accès.
      • Suivre pour autoriser l’accès et surveiller l’utilisation du module.
    4. Sélectionnez Soumettre.
      Avertissement :
      Pour les utilisateurs de l’assistance de chiffrement héritée :
      Si vous utilisez la version non entreprise de Chiffrement au niveau des colonnes, vous êtes limité à cinq modules. Si vous avez dépassé cette limite, vous recevez l’avertissement suivant :
      Cette insertion dépasse le nombre de limites des modules publiés de Chiffrement au niveau des colonnes autorisées avec le produit d’abonnement. L’abonnement Entreprise à Chiffrement au niveau des colonnes est requis pour les modules supplémentaires. Veuillez contacter l’équipe de votre compte.
    5. Sélectionnez le nom de politique associé au module de chiffrement que vous souhaitez examiner.
      Utilisation de la politique d’accès au module de type de script :

      Une politique d’accès au module est générée automatiquement en fonction du paramètre d’accès par défaut lors de l’exécution du script. Le nom du module est précédé d’AutoGen-. Par exemple, le module Module-TestPolicy est répertorié en tant que AutoGen-Module-TestPolicy dans la colonne Nom de la politique.

      Le formulaire Politique d’appelant de chiffrement répertorie la politique d’appelant que vous avez sélectionnée. Le champ Champ d’application cible spécifie le champ d’application du script qui tente d’utiliser le module. Voir pour plus d’informations.

      Remarque :
      Cinq politiques d’accès au module au maximum sont autorisées avec Chiffrement au niveau des colonnes. Reportez-vous à la section pour les options de configuration.