Créer une politique de cycle de vie du module cryptographique
Créez une politique de cycle de vie du module de chiffrement pour imposer des limites aux modules de chiffrement, telles que la durée de conservation de la clé. Créez des politiques pour protéger les modules cryptographiques en limitant leur exposition.
Avant de commencer
Rôle requis : sn_kmf.cryptographic_manager
Pourquoi et quand exécuter cette tâche
Une politique de cycle de vie de module cryptographique est une politique au niveau de l’instance. Plus une clé cryptographique est exposée, plus elle risque d’être compromise. Protégez les clés en limitant la durée d’utilisation des clés et les personnes qui peuvent les utiliser.
Les fonctionnalités suivantes régissent les modules de chiffrement :
Les politiques d’instance définissent des limites pour l’instance. Par exemple, si vous spécifiez dans une stratégie d’instance que la date d’expiration ne doit jamais être supérieure à deux ans après la date d’activation, vous ne pouvez pas utiliser les règles de cycle de vie pour définir une date d’expiration cinq ans après la date d’activation.
Les modèles de cycle de vie d’instance vous permettent de définir différentes politiques pour différentes clés. Les modèles offrent des règles de cycle de vie par défaut pour les modules cryptographiques afin qu’il ne soit pas nécessaire de les recréer pour chaque module. Par exemple, vous pouvez définir des dates d’expiration différentes pour les clés de chiffrement de données symétriques et pour les clés d’encapsulation de clé publique.
Les règles de cycle de vie affectent directement les clés. Par exemple, si vous spécifiez dans les règles de cycle de vie que la date d’expiration doit être de deux ans après la date d’activation, les clés expireront deux ans après la date d’activation.
Procédure
Que faire ensuite
Si vous souhaitez ajouter des exceptions à cette politique de cycle de vie au niveau du module, reportez-vous à la section Créer des exceptions de politique de cycle de vie de module.