Créer une politique d’accès au module

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Créez des politiques d’accès au module pour déterminer quels utilisateurs et scripts peuvent accéder aux données chiffrées par un module cryptographique.

    Avant de commencer

    Rôle requis : sn_kmf.cryptographic_manager ou sn_kmf.admin

    Pourquoi et quand exécuter cette tâche

    Chiffrement de champ prend en charge les politiques d’accès au module basées sur les rôles et des options de configuration supplémentaires deviennent disponibles avec la fonctionnalité (CLE_Ent).
    • Configurez l’opération de chiffrement spécifique dans les stratégies d’accès au module pour les modules de chiffrement qui prennent en charge les opérations symétriques. Par exemple, un utilisateur peut être autorisé à chiffrer des données mais pas à déchiffrer des données.
    • Définissez une valeur de politique d’accès au module par défaut ou en fonction d’un module cryptographique.
    • Associez les versions de script où les changements apportés au script sont suivis et invalidez la politique de script, offrant ainsi une meilleure sécurité pour les politiques d’accès au module de type script.
    CLE_Ent est disponible avec un abonnement payant. Consultez la rubrique pour connaître les fonctionnalités prises en charge et les options disponibles avec chaque offre. Pour plus d'informations, consultez Chiffrement de champ Enterprise.
    Remarque :
    Le comportement par défaut des politiques d’accès au module (MAP) est Rejeter pour empêcher tout accès non autorisé, sauf déclaration explicite dans les enregistrements MAP.

    Procédure

    1. Accédez à la Tout > Gestion des clés > Politiques d'accès au module > Tous.
      Si vous ne créez pas de module de chiffrement configuré pour le chiffrement/déchiffrement de données symétriques, une politique d’accès au module générée automatiquement est créée et répertoriée dans la table.
    2. Sélectionnez Nouveau.
      • Sélectionnez Spécifier l’objectif pour choisir une spécification de chiffrement et définir l’opération granulaire.Lorsque vous cochez la case Spécifier l’objectif, les champs de spécification cryptographique sont disponibles.
      • Avec les spécifications cryptographiques pour le chiffrement/déchiffrement de données symétriques et l’encapsulation/désencapsulation symétrique, le champ Opération granulaire est disponible si vous cochez la case Spécifier l’objectif .

        Liste d’opérations granulaires.

    3. Renseignez le formulaire.
      Champs de politiques d’accès au module
      Champ Description
      Nom de la politique Saisissez un nom pour la politique.
      Module de chiffrement Sélectionnez l’icône de recherche (icône de recherche)pour sélectionner un module.
      Spécification du chiffrement Sélectionnez ou créez une spécification cryptographique lors de la génération de la politique d’accès au module. Ce champ est disponible lorsque la case Spécifier l’objectif est cochée.
      Opération granulaire Sélectionnez l’objectif cryptographique de la spécification cryptographique. Les valeurs disponibles dépendent du type de spécification cryptographique sélectionné.

      Voir pour plus de détails sur les objectifs cryptographiques.
      Type
      • Périmètre : contrôle l’accès par périmètre de l’application.
      • Utilisateur système : autorise les utilisateurs système à accéder aux modules de chiffrement.
      • Script : contrôler l’accès par script. Pour plus d’informations, consultez
      • Rôle : contrôle l’accès par rôle d’utilisateur.
      • Échange de ressources : contrôlez l’accès à l’aide du Resource Exchangefichier . Consultez pour plus d'informations.
      Remarque :
      Seul le type de rôle est pris en charge avec Chiffrement de champ. Tous les autres types sont disponibles avec Chiffrement de champ Enterprise.
      Périmètre cible Le champ est visible en tant qu’identificateur pour le type de champ d’application . Fait référence à la fonctionnalité de la politique. Sélectionnez les applications dans le menu de recherche.
      Remarque :
      Le champ d’application cible n’est pas pris en charge et ne peut être défini qu’avec Chiffrement de champ Enterprise
      Rôle cible Le champ est visible en tant qu’identificateur pour le type de rôle . Rôle auquel cette politique s’applique.
      Table de scripts

      Script cible

      Ces champs s’affichent lorsque vous sélectionnez Script comme type.

      Le champ est visible en tant qu’identificateur pour le type de script . Sélectionnez une table à laquelle cette politique s’applique. Document auquel cette politique s’applique. Sélectionnez le nom de la table, puis le document connexe pour la politique.

      La première fois qu’un script appelle un module cryptographique, l’accès au module est refusé et le développeur reçoit une erreur. Cette erreur donne au propriétaire du module la possibilité d’accorder ou de refuser l’accès au module.

      Échange de ressources :

      • Spécification du chiffrement
      • Type d'approbation
      • Hôte de l'instance cible

      Ces options s’affichent lorsque vous sélectionnez le type.

      Resource Exchange est pris en charge à la fois par KMF et par lorsque le module parent est column_level_encryption.

      Sélectionnez la spécification de chiffrement, Unique ou Récurrent, et l’URL de l’instance cible. Consultez pour plus d'informations.
      Emprunt d'identité Dans les stratégies d’accès au module basées sur les rôles, les utilisateurs peuvent accéder aux données chiffrées à l’aide d’une session d’emprunt d’identité. Lorsque des utilisateurs, tels que des administrateurs, empruntent l’identité d’autres utilisateurs, ces politiques d’accès au module activées pour l’emprunt d’identité sont appliquées.
      Spécifier l'objectif Sélectionnez cette option pour que le champ Spécification cryptographique soit disponible pour la politique.
      Actif Sélectionnez cette option pour activer la politique.
      Résultat Sélectionnez l'une des options suivantes :
      • StrictReject rejette l’accès en toutes circonstances.
      • Rejeter empêche les utilisateurs ayant le rôle cible ou le champ d’application cible d’accéder à ce module de chiffrement, sauf si une autre politique leur accorde l’accès.
      • Suivi permettant d’autoriser l’accès au module et de surveiller son utilisation.
    4. Sélectionnez Soumettre.
      Avertissement :
      Pour les utilisateurs de la prise en charge du chiffrement hérité :
      Si vous utilisez la version non entreprise de Chiffrement de champ, vous êtes limité à cinq modules. Si vous avez dépassé cette limite, vous recevez l’avertissement suivant :
      Cette insertion dépasse le nombre de modules publiés autorisés Chiffrement de champ avec le produit d’abonnement. L’abonnement Entreprise pour Chiffrement de champ est requis pour les modules supplémentaires. Veuillez contacter l’équipe de votre compte.
    5. Sélectionnez le nom de politique associé au module de chiffrement que vous souhaitez examiner.
      Utilisation de la politique d’accès au module de type de script :

      Une politique d’accès au module est générée automatiquement en fonction du paramètre d’accès par défaut lors de l’exécution du script. Le nom du module est précédé de AutoGen-. Par exemple, le module Module-TestPolicy est répertorié sous le nom AutoGen-Module-TestPolicy dans la colonne Nom de la politique.

      Le formulaire Politique d’appelant cryptographique répertorie la politique d’appelant que vous avez sélectionnée. Le champ Périmètre cible spécifie le périmètre du script qui tente d’utiliser le module. Consultez la section pour plus d’informations.

      Remarque :
      Un maximum de cinq politiques d’accès au module est autorisé avec Chiffrement de champ. Consultez la section pour les options de configuration.