Débogueur de politique d’accès au module

Rversion finale: Zurich

Mis à jour 31 juil. 2025

2 minutes de lecture

Utilisez le débogueur de politique d’accès au module pour examiner les informations de connexion et comprendre pourquoi vos utilisateurs ont accès ou non à un contexte de chiffrement.

Les politiques d’accès au module (MAP) définissent les contrôles au niveau de l’instance pour l’accès aux modules cryptographiques. Les appelants (par exemple, un utilisateur ou un script) ont besoin d’un accès explicite pour utiliser un module cryptographique à des fins de chiffrement et de déchiffrement. Utilisez le débogueur pour voir quelles politiques sont évaluées lorsqu’un appelant tente d’accéder à un module de chiffrement. Vous pouvez également utiliser le débogueur et savoir pourquoi l’accès est accordé ou non.

Cet organigramme montre comment votre instance évalue les demandes d’accès à un module cryptographique.

Organigramme montrant comment l’accès aux modules de chiffrement est évalué

Contrôler l’accès aux journaux de débogage

L’accès aux journaux de débogage d’accès au module est déterminé par rôle. Les utilisateurs disposant des sn_kmf.admin rôles et sn_kmf.cryptographic_manager ont accès au débogueur. Accorder l’accès à d’autres rôles à l’aide de la glide.kmf.module_access_policies.debugger.authorized.roles propriété système. La valeur de cette propriété est une liste séparée par des virgules des rôles qui accèdent aux journaux de débogage.

Activer ou désactiver le débogueur

Pour activer les messages de journalisation de débogage pour les politiques d’accès au module, accédez à Tous > Diagnostics > Débogage de session > Débogage pour les politiques d'accès au module > .

Une fois le débogage terminé, vous pouvez désactiver les messages de journalisation en accédant à Tous > Diagnostics > Débogage de session > Désactiver tout > .

Accéder aux journaux

Après avoir activé le débogage, accédez à une page qui déclenche une évaluation MAP pour afficher les journaux de débogage MAP. Les messages de débogage s’affichent en bas de la page.

Conseil :

Vous pouvez utiliser l’emprunt d’identité pour résoudre les problèmes d’accès pour d’autres utilisateurs. Pour en savoir plus sur l’emprunt d’identité, reportez-vous à la section Impersonating users. Pour afficher les journaux de débogage du point de vue d’un autre utilisateur, assurez-vous que le champ Emprunt d’identitérole de vos politiques d’accès au module est défini sur vrai.

Dans cet exemple, un appelant appelle deux demandes d’accès au module de chiffrement global.fuji . Un chiffrement symétrique, qui est accordé, et un déchiffrement symétrique, qui a été refusé.

Présentation des entrées de journal

Les informations de débogage sont structurées selon ce format.

Cette première ligne affiche le module cryptographique qui reçoit la demande d’accès.
Les lignes entre la première et la dernière ligne affichent les MAP évaluées dans l’ordre dans lequel elles ont été évaluées et incluent leur nom, leur type, leur cible, leur opération granulaire et leur résultat.
La dernière ligne affiche la décision de politique (le cas échéant) et le résultat de l’accès net pour l’appelant (si l’accès est accordé à l’appelant).

Chaque ligne commence par une icône qui indique son type de message.

Tableau 1. Icônes de messages
Icône	Type du message
	Message d'information
	La politique d’accès au module accorde l’accès
	Politique d’accès au module : refus d’accès
	L’accès est accordé à l’appelant
	L’accès est refusé à l’appelant
	Aucune politique d’accès au module à évaluer

Exemples de journaux de débogage

Message d’accès accordé
Message d’accès refusé
Accès refusé (aucune politique d’accès au module à évaluer
Accès refusé (privilèges insuffisants)