Configurer les politiques d’accès aux modules pour le chiffrement de champ

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Créez une politique d’accès au module pour contrôler quels utilisateurs, scripts ou processus système peuvent chiffrer ou déchiffrer les données chiffrées par un module de chiffrement de champ.

    Avant de commencer

    Rôle requis : administrateur KMF ou gestionnaire cryptographique KMF, administrateur de sécurité

    Vous devez disposer d’un module de chiffrement de champ publié pour utiliser ce processus. Si vous ne l’avez pas fait, reportez-vous à la section Configurer les Chiffrement de champ modules.

    Pourquoi et quand exécuter cette tâche

    Les politiques d’accès aux modules (MAP) sont les contrôles d’accès que vous appliquez à vos modules de chiffrement de champ pour définir quels utilisateurs, scripts ou processus système peuvent chiffrer ou déchiffrer des données. Configurez des MAP pour les utilisateurs (via des rôles), les scripts ou les processus s’exécutant dans le contexte « système ». Sans MAP, les utilisateurs, les scripts ou les processus système ne sont pas en mesure de chiffrer ou de déchiffrer les données, ce qui peut entraîner un dysfonctionnement des processus de workflow de bout en bout.

    Les MAP sont distinctes des listes de contrôle d’accès (ACL), mais peuvent être utilisées en combinaison avec elles. Voir Explorer Chiffrement de champ pour plus d’informations sur l’objectif des MAP.

    Pour Chiffrement de champ Enterprise, examinez pour déterminer quels utilisateurs, scripts ou processus système ont besoin d’une MAP.

    Procédure

    1. Accédez à la Tous > Gestion des clés > Politiques d'accès au module > Tous.
    2. Sélectionnez Nouveau.
    3. Dans le formulaire Politique d’accès au module, renseignez les champs selon vos besoins.
      Champ Description
      Nom de la politique Nom de votre MAP
      Module de chiffrement Sélectionnez le module de chiffrement de champ à régir par cette MAP.
      Spécification de chiffrement Facultatif. Sélectionnez ou créez une nouvelle spécification cryptographique pour cette MAP.

      Ce champ s’affiche uniquement lorsque le champ Spécifier l’objectif est activé.
      Type Décidez qui ou quoi doit avoir accès à cette MAP pour chiffrer ou déchiffrer des données.
      Champ d'application
      Tout élément se trouvant dans le périmètre de l’application spécifié a accès à cette MAP.
      Rôle
      Seuls les utilisateurs ayant le rôle spécifique peuvent accéder à cette MAP.
      Script
      Assurez-vous qu’un script spécifié peut accéder à cette MAP.
      Accès au système
      Permet aux processus s’exécutant dans un « contexte système » d’accéder à cette MAP.
      Échange de ressources
      Permet à la fonctionnalité d’échange de ressources d’accéder à cette MAP.

      Pour plus d’informations sur le fonctionnement de ces différents types de MAP, reportez-vous à la section Explorer Chiffrement de champ.
      Périmètre cible Sélectionnez un périmètre auquel cette MAP s’applique.

      Ce champ s’affiche uniquement si le champ Type est défini sur Périmètre.
      Spécifier l’objectif Facultatif. Activez cette option pour afficher le champ Spécification de chiffrement sur le formulaire. Activez cette option pour configurer des opérations granulaires, telles que la possibilité pour certains utilisateurs de chiffrer, mais pas de déchiffrer.
      Opération granulaire Facultatif. Sélectionnez l’objectif cryptographique de la spécification cryptographique. Les valeurs disponibles dépendent du type de spécification de chiffrement sélectionné.

      Par exemple, vous pouvez spécifier que cette MAP permet uniquement aux utilisateurs de chiffrer, mais pas de déchiffrer, ou l’inverse, ou les deux.

      Ce champ s’affiche uniquement s’il y a une valeur dans le champ Spécification de chiffrement .
      • Si un utilisateur dispose d’un accès de chiffrement, mais pas d’un accès de déchiffrement, le champ s’affiche en mode d’édition et les données saisies s’affichent sous forme d’astérisques.
      • Si un utilisateur dispose d’un accès de déchiffrement, mais pas d’un accès de chiffrement, le champ affiche les données déchiffrées en mode lecture seule.
      • Si un utilisateur dispose d’un accès de chiffrement et de déchiffrement, les fonctionnalités de lecture et d’écriture sont disponibles pour le champ chiffré.
      Rôle cible Sélectionnez quel rôle doit avoir accès à cette MAP.

      Ce champ s’affiche uniquement lorsque le champ Type est défini sur Rôle
      Table de scripts Sélectionnez le type de script qui s’applique à cette MAP :
      • Contrôle d'accès
      • Concepteur d'activité
      • Règle métier
      • Action sur e-mail entrant
      • Créateur d'enregistrement
      • Exécution de script planifiée
      • Script Include
      • Action d'interface utilisateur
      • Widget
      • Activité du workflow

      Ce champ s’affiche uniquement si le champ Type est défini sur Script.
      Script cible Choisissez le script spécifique de la table de types sélectionnée dans le champ Table de scripts qui doit avoir accès à cette MAP.

      Ce champ s’affiche uniquement si le champ Type est défini sur Script.

      Vérifier la version du script Lorsque cette option est sélectionnée, le système vérifie la version du script qui est exécutée avec la version spécifiée dans le champ Script cible . Si les versions sont différentes, l’administrateur en est informé.

      Ce champ s’affiche uniquement si le champ Type est défini sur Script.

      Type d'approbation Sélectionnez Ponctuel ou Récurrent :
      Unique
      Permet de partager en toute sécurité la clé de chiffrement des données symétriques du module de chiffrement de champ associé avec l’instance cible une seule fois.
      Récurrent
      Permet de partager de façon récurrente et en toute sécurité la clé de chiffrement des données symétriques dans le module de chiffrement de champ associé avec l’instance cible.

      Ce champ s’affiche uniquement si le champ Type est défini sur Échange de ressources.

      Hôte de l'instance cible Entrez l’URL de l’instance cible à laquelle la clé de chiffrement de données symétrique du module de chiffrement de champ associé est envoyée.

      Ce champ s’affiche uniquement si le champ Type est défini sur Échange de ressources.

      Emprunt d'identité Lorsque cette option est activée, un utilisateur empruntant l’identité d’un autre utilisateur obtient toutes les autorisations MAP des deux utilisateurs. Si cette option est désactivée, un utilisateur empruntant l’identité d’un autre utilisateur ne dispose que des autorisations MAP qui lui ont été accordées avant l’emprunt d’identité.
      Actif Activez cette MAP.
      Résultat Sélectionnez l'une des options suivantes :
      Trace
      Permet l’accès et surveille l’utilisation du MAP.
      Refuser
      Rejette l’accès sauf si un autre MAP accorde l’accès.
      StrictReject
      Refuse l’accès en toutes circonstances, même si un autre MAP accorde l’accès.
    4. Sélectionnez Soumettre.