モジュールアクセスポリシー (MAP) は、暗号化モジュールへのアクセスに対するインスタンスレベルの制御を定義します。問い合わせユーザー (ユーザーやスクリプトなど) は、暗号化と復号化に暗号化モジュールを使用するために明示的なアクセス権を必要とします。問い合わせユーザーが暗号化モジュールにアクセスを試みたときに評価される MAP は明確ではない場合もあります。デバッガを使用して問い合わせユーザーが暗号化モジュールにアクセスを試みたときに評価されるポリシーを確認し、アクセスが付与される理由とされない理由を確認します。

このフローチャートは、インスタンスが暗号化モジュールへのアクセス要求を評価する方法を示しています。

デバッグログへのアクセスの制御

モジュールアクセスのデバッグログへのアクセスは、ロールによって決まります。sn_kmf.admin および sn_kmf.cryptographic_manager ロールを持つユーザーは常にデバッガにアクセスできます。glide.kmf.module_access_policies.debugger.authorized.roles システムプロパティを使用して、他のロールにアクセス権を付与します。このプロパティの値は、デバッグログにアクセスできるロールのカンマ区切りリストです。

デバッガの有効化または無効化

モジュールアクセスポリシーのデバッグログメッセージを有効にするには、 すべて > 診断 > セッションのデバッグ > モジュールアクセスポリシーのデバッグ > .

デバッグが終了したら、次の場所に移動してログ記録メッセージを無効にできます。 すべて > 診断 > セッションのデバッグ > すべて無効化 > .

ログへのアクセス

この例では、問い合わせユーザーが global.fuji 暗号化モジュールへの 2 つのアクセス要求を呼び出します。対称暗号化は許可され、対称復号化は拒否されています。

ログエントリについて

デバッグ情報は、この形式を使用して構造化されます。

1. この最初の行にはアクセス要求を受信する暗号化モジュールが表示されます。
2. 最初の行と最後の行の間にある行には、評価済みの MAP が評価された順に表示され、名前、タイプ、ターゲット、詳細な操作、および結果が含まれています。
3. 最後の行には、ポリシー決定 (該当する場合) と問い合わせユーザーの正味アクセス結果 (問い合わせユーザーにアクセス権が付与されているかどうか) が表示されます。

各行はメッセージタイプを示すアイコンで始まります。

表 : 1. メッセージアイコン

アイコン	メッセージタイプ
	情報メッセージ
	モジュールアクセスポリシーによりアクセス権が付与される
	モジュールアクセスポリシーによりアクセスが拒否される
	問い合わせユーザーのアクセスが許可される
	問い合わせユーザーへのアクセスが拒否される
	評価するモジュールアクセスポリシーなし

デバッグログの例

アクセスが許可された場合のメッセージ

アクセスが拒否された場合のメッセージ

アクセスが拒否されました (評価するモジュールアクセスポリシーなし)

アクセスが拒否されました (十分な権限がない)