モジュールアクセスポリシーを作成する

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • モジュールアクセスポリシーを作成して、データの暗号化または復号化を制限する。

    始める前に

    必要なロール:sn_kmf.cryptographic_manager または sn_kmf.admin

    このタスクについて

    Column Level Encryption (CLE) は、ロールベースのモジュールアクセスポリシーをサポートしており、(CLE_Ent) 機能で追加の構成オプションを使用できます。
    • 対称操作をサポートする暗号化モジュール向けに、モジュールアクセスポリシーで特定の暗号化操作を設定します。たとえば、ユーザーにデータの暗号化を許可し、復号化を許可しないように設定できます。
    • 暗号化モジュールごとにデフォルトのモジュールアクセスポリシー値を設定します。
    • スクリプトの変更を追跡するスクリプトバージョンを関連付けてスクリプトポリシーを無効にし、スクリプトタイプのモジュールアクセスポリシーのセキュリティを強化します。
    CLE_Ent 機能は有料サブスクリプションで利用できます。サポート対象機能と各製品で使用できるオプションについては、「」を参照してください。詳細については、「列レベル暗号化エンタープライズ」を参照してください。
    注:
    MAP レコードで明示的に宣言されていない限り、モジュールアクセスポリシー (MAP) のデフォルトの動作は、不正アクセスを防ぐために [拒否] です。

    手順

    1. 移動先 すべて > キー管理 > モジュールアクセスポリシー > すべて
      対称データの暗号化/復号化用に構成された暗号化モジュールを作成しない場合、自動生成されたモジュールアクセスポリシーが作成され、テーブルに一覧表示されます。
    2. [新規] をクリックします。
      • [目的を指定] を選択して [暗号化仕様] を選択し、[詳細な操作] を設定します。[目的の指定] チェックボックスをオンにすると、[暗号化仕様] フィールドが利用可能になります。
      • 対称データの暗号化/復号化および対称ラッピング/ラップ解除の暗号化仕様では、[目的を指定] チェックボックスをオンにすると [詳細な操作] フィールドを使用できます。

        詳細な操作リスト。

    3. フォームに入力します。
      [モジュールアクセスポリシー] フィールド
      フィールド 説明
      ポリシー名 ポリシーの名前を入力します。
      暗号化モジュール 検索アイコン (検索アイコン) をクリックしてモジュールを選択します。
      暗号化仕様 モジュールアクセスポリシーの生成時に、新しい暗号化仕様を選択または作成します。このフィールドは、[目的を指定] チェック ボックスがオンの場合に利用可能です。
      詳細な操作 暗号化仕様の暗号化の目的を選択します。使用可能な値は、選択した暗号化仕様のタイプによって異なります。

      暗号化の目的の詳細については、「」を参照してください。
      タイプ
      • スコープ:アプリケーションスコープ別にアクセスを制御します。
      • システムユーザー:システムユーザーが暗号化モジュールにアクセスできるようにします。
      • スクリプト:スクリプトでアクセスを制御します。詳細については、を参照してください。
      • ロール:ユーザーロール別にアクセスを制御します。
      • リソース交換Resource Exchange を使用してアクセスを制御します。詳細を参照してください。
      注:
      Column Level Encryption では、ロールタイプのみがサポートされています。他のすべてのタイプは 列レベル暗号化エンタープライズ で使用できます。
      ターゲットスコープ フィールドはスコープタイプの識別子として表示されます。ポリシーの機能を参照します。検索メニューでアプリケーションを選択します。
      注:
      ターゲットスコープはサポートされておらず、列レベル暗号化エンタープライズ でのみ設定できます。
      ターゲットロール フィールドはロールタイプの識別子として表示されます。このポリシーが適用されるロール。
      スクリプトテーブル

      ターゲットスクリプト

      これらのフィールドは、タイプとして [スクリプト ] を選択した場合に表示されます。

      フィールドはスクリプトタイプの識別子として表示されます。このポリシーが適用されるテーブルを選択します。このポリシーが適用されるドキュメント。[テーブル名] を選択してから、ポリシーの関連ドキュメントを選択します。

      スクリプトが暗号化モジュールを初めて呼び出すと、モジュールへのアクセスが拒否され、開発者はエラーを受け取ります。このエラーにより、モジュール所有者はモジュールへのアクセスを許可または拒否できます。

      リソース交換:

      • 暗号化仕様
      • 承認タイプ
      • ターゲットインスタンスホスト

      これらのオプションは、タイプとして選択すると表示されます。

      Resource Exchange は、KMF と親モジュールが column_level_encryptionされている場合の両方でサポートされます。

      暗号化仕様、1 回または繰り返し、およびターゲットインスタンスの URL を選択します。詳細を参照してください。
      代理操作 ロールベースのモジュールアクセスポリシーでは、ユーザーは代理操作セッションを使用して暗号化されたデータにアクセスできます。管理者などのユーザーが他のユーザーの代理操作を行うと、そのような代理操作が有効なモジュールアクセスポリシーが適用されます。
      目的を指定 [暗号化仕様] フィールドをポリシーで使用可能なフィールドとして切り替える場合に選択します。
      有効 ポリシーを有効にする場合に選択します。
      結果 次のいずれかを選択します。
      • StrictReject は、すべての状況下でアクセスを拒否します。
      • [却下] は、別のポリシーでアクセス権が付与されない限り、ターゲット ロール または ターゲットスコープ を持つユーザーによるこの暗号化モジュールへのアクセスを拒否します。
      • 追跡してモジュールのアクセスを許可し、モジュールの使用を監視します。
    4. [送信] を選択します。
      警告:
      従来の暗号化サポートユーザーの場合:
      非エンタープライズバージョンの Column Level Encryption を使用している場合は、5 つのモジュールに制限されます。 この上限を超えると、次の警告が表示されます。
      この挿入により、サブスクリプション製品に認められている Column Level Encryption  の公開モジュール数の上限を超えました。追加のモジュールには、Column Level Encryption の Enterprise サブスクリプションが必要です。アカウントチームにお問い合わせください。
    5. 調べる暗号化モジュールに関連付けられているポリシー名を選択します。
      スクリプトタイプモジュールアクセスポリシーの使用:

      スクリプトが実行されると、デフォルトのアクセス設定に基づいてモジュールアクセスポリシーが自動生成されます。モジュール名の先頭には AutoGen- が付きます。たとえば、Module-TestPolicy モジュールは、[ポリシー名] 列に AutoGen-Module-TestPolicy として表示されます。

      暗号化発信者ポリシーフォームには、選択した発信者ポリシーがリストされます。[ターゲットスコープ] フィールドで、モジュールを使用しようとするスクリプトのスコープを指定します。詳細については、「」を参照してください。

      注:
      Column Level Encryption では、最大 5 つのモジュールアクセスポリシーが許可されます。構成オプションについては、「」を参照してください。