モジュールアクセスポリシーを作成する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • モジュールアクセスポリシーを作成し、データを暗号化または復号化できるかどうかを制限します。

    始める前に

    必要なロール:sn_kmf.cryptographic_manager または sn_kmf.admin

    このタスクについて

    列レベル暗号化 (CLE) は、ロールベースのモジュールアクセスポリシーをサポートしており、(CLE_Ent) 機能で追加の構成オプションを使用できます。
    • 対称操作をサポートする暗号化モジュール向けに、モジュールアクセスポリシーで特定の暗号化操作を設定します。たとえば、ユーザーにデータの暗号化を許可し、復号化を許可しないように設定できます。
    • 暗号化モジュールごとにデフォルトのモジュールアクセスポリシー値を設定します。
    • スクリプトの変更を追跡するスクリプトバージョンを関連付けてスクリプトポリシーを無効にし、スクリプトタイプのモジュールアクセスポリシーのセキュリティを強化します。
    CLE_Ent 機能は有料サブスクリプションで利用できます。サポート対象機能と各製品で使用できるオプションについては、「暗号化とキー管理のサブスクリプションバンドル」を参照してください。詳細については、「列レベル暗号化エンタープライズ」を参照してください。
    注:
    MAP レコードで明示的に宣言されていない限り、モジュールアクセスポリシー (MAP) のデフォルトの動作は、不正アクセスを防ぐために [拒否] です。

    手順

    1. 移動先 すべて > キー管理 > モジュールアクセスポリシー > すべて。
      対称データの暗号化/復号化用に構成された暗号化モジュールを作成しない場合は、自動生成されたモジュールアクセスポリシーが作成され、テーブルにリストされます。
    2. [新規] をクリックします。
      • [目的を指定] を選択して [暗号化仕様] を選択し、[詳細な操作] を設定します。[目的を指定] チェックボックスをオンにすると、[暗号化仕様] フィールドが利用可能になります。
      • 対称データの暗号化/復号化および対称ラッピング/ラップ解除の暗号化仕様では、[目的を指定] チェックボックスをオンにすると [詳細な操作] フィールドを使用できます。

        詳細な操作リスト。

    3. フォームに入力します。
      [モジュールアクセスポリシー] フィールド
      フィールド 説明
      ポリシー名 ポリシーの名前を入力します。
      暗号化モジュール 検索アイコン (検索アイコン) をクリックしてモジュールを選択します。
      暗号化仕様 モジュールアクセスポリシーの生成時に、新しい暗号化仕様を選択または作成します。このフィールドは、[目的を指定] チェック ボックスがオンの場合に利用可能です。
      詳細な操作 暗号化仕様の暗号化の目的を選択します。使用可能な値は、選択した暗号化仕様のタイプによって異なります。

      暗号化の目的の詳細については、「暗号化の目的、アルゴリズム、およびキーの情報」を参照してください。
      タイプ
      • スコープ:アプリケーションスコープ別にアクセスを制御します。
      • システムユーザー:システムユーザーが暗号化モジュールにアクセスできるようにします。
      • スクリプト:スクリプトでアクセスを制御します。詳細については、「暗号化されたデータへのスクリプトアクセスを設定する」を参照してください。
      • ロール:ユーザーロール別にアクセスを制御します。
      • リソース交換リソース交換 を使用してアクセスを制御します。詳細を参照してください。
      注:
      列レベル暗号化では、ロールタイプのみがサポートされています。他のすべてのタイプは 列レベル暗号化エンタープライズ で使用できます。
      ターゲットスコープ フィールドはスコープタイプの識別子として表示されます。ポリシーの機能を参照します。検索メニューでアプリケーションを選択します。
      注:
      ターゲットスコープはサポートされておらず、列レベル暗号化エンタープライズ でのみ設定できます。
      ターゲットロール フィールドはロールタイプの識別子として表示されます。このポリシーが適用されるロール。
      スクリプトテーブル

      ターゲットスクリプト

      このフィールドは、タイプとして [スクリプト] を選択した場合に表示されます。

      フィールドはスクリプトタイプの識別子として表示されます。このポリシーが適用されるテーブルを選択します。このポリシーが適用されるドキュメント。[テーブル名] を選択してから、ポリシーの関連ドキュメントを選択します。

      スクリプトが暗号化モジュールを初めて呼び出すと、モジュールへのアクセスが拒否され、開発者はエラーを受け取ります。このエラーにより、モジュールオーナーはモジュールへのアクセスを許可または拒否できます。

      リソース交換:

      • 暗号化仕様
      • 承認タイプ
      • ターゲットインスタンスホスト

      これらのオプションは、タイプに [リソース交換] を選択すると表示されます。

      親モジュールが column_level_encryption の場合、リソース交換 は KMF と両方でサポートされます。

      暗号化仕様、1 回または繰り返し、およびターゲットインスタンスの URL を選択します。詳細を参照してください。
      代理操作 ロールベースのモジュールアクセスポリシーでは、ユーザーは代理操作セッションを使用して暗号化されたデータにアクセスできます。アドミンなどのユーザーが他のユーザーの代理操作を行うと、そのような代理操作が有効なモジュールアクセスポリシーが適用されます。
      目的を指定 [暗号化仕様] フィールドをポリシーで使用可能なフィールドとして切り替える場合に選択します。
      有効 ポリシーを有効にする場合に選択します。
      結果 次のいずれかを選択します。
      • StrictReject は、すべての状況下でアクセスを拒否します。
      • 却下ターゲットロールまたはターゲットスコープを持つユーザーは、別のポリシーで許可されない限り、この暗号化モジュールにアクセスできません。
      • 追跡してモジュールのアクセスを許可し、モジュールの使用を監視します。
    4. [送信] を選択します。
      警告:
      従来の暗号化サポートユーザーの場合:
      非エンタープライズバージョンの列レベル暗号化を使用している場合は、5 つのモジュールに制限されます。 この上限を超えると、次の警告が表示されます。
      この挿入により、サブスクリプション製品に認められている Column Level Encryption  の公開モジュール数の上限を超えました。追加のモジュールには、列レベル暗号化の Enterprise サブスクリプションが必要です。アカウントチームにお問い合わせください。
    5. 調べる暗号化モジュールに関連付けられているポリシー名を選択します。
      スクリプトタイプモジュールアクセスポリシーの使用:

      スクリプトが実行されると、デフォルトのアクセス設定に基づいてモジュールアクセスポリシーが自動生成されます。モジュール名の先頭には「AutoGen-」が付きます。たとえば、「Module-TestPolicy」モジュールは、[ポリシー名] 列に「AutoGen-Module-TestPolicy」と表示されます。

      暗号化発信者ポリシーフォームに、選択した発信者ポリシーがリストされます。[ターゲットスコープ] フィールドで、モジュールを使用しようとするスクリプトのスコープを指定します。詳細については、「暗号化されたデータへのスクリプトアクセスを設定する」を参照してください。

      注:
      列レベル暗号化では、最大 5 つのモジュールアクセスポリシーが許可されます。設定オプションについては、「暗号化とキー管理のサブスクリプションバンドル」を参照してください。