モジュールアクセスポリシーを作成する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • モジュールアクセスポリシーを作成して、暗号化モジュールで暗号化されたデータにアクセスできるユーザーとスクリプトを決定します。

    始める前に

    必要なロール:sn_kmf.cryptographic_manager または sn_kmf.admin

    このタスクについて

    フィールド暗号化 はロールベースのモジュールアクセスポリシーをサポートしており、追加の構成オプションが (CLE_Ent) 機能で利用可能になります。
    • 対称操作をサポートする暗号化モジュール向けに、モジュールアクセスポリシーで特定の暗号化操作を設定します。たとえば、ユーザーはデータの暗号化を有効にし、復号化は行わないことができます。
    • デフォルトのモジュールアクセスポリシー値を設定するか、暗号化モジュールに従います。
    • スクリプトの変更を追跡するスクリプトバージョンを関連付けてスクリプトポリシーを無効にし、スクリプトタイプのモジュールアクセスポリシーのセキュリティを強化します。
    CLE_Ent 機能は有料サブスクリプションで利用できます。サポート対象機能と各製品で使用できるオプションについては、「暗号化とキー管理のサブスクリプションバンドル」を参照してください。詳細については、「フィールド暗号化エンタープライズ」を参照してください。
    注:
    MAP レコードで明示的に宣言されていない限り、モジュールアクセスポリシー (MAP) のデフォルトの動作は、不正アクセスを防ぐために [拒否] です。

    手順

    1. 次のように移動する。 All (すべて) > キー管理 > モジュールアクセスポリシー > すべて
      対称データの暗号化/復号化用に構成された暗号化モジュールを作成しない場合は、自動生成されたモジュールアクセスポリシーが作成され、テーブルにリストされます。
    2. [New (新規)] を選択します。
      • [目的を指定] を選択して [暗号化仕様] を選択し、[詳細な操作] を設定します。[目的を指定] チェックボックスをオンにすると、[暗号化仕様] フィールドが利用可能になります。
      • 対称データの暗号化/復号化および対称ラッピング/ラップ解除の暗号化仕様では、[目的を指定] チェックボックスをオンにすると [詳細な操作] フィールドを使用できます。

        詳細な操作リスト。

    3. フォームに入力します。
      [モジュールアクセスポリシー] フィールド
      フィールド 説明
      ポリシー名 ポリシーの名前を入力します。
      暗号化されたモジュール 検索アイコン ( 検索アイコン )を選択してモジュールを選択します。
      暗号化仕様 モジュールアクセスポリシーの生成時に暗号化仕様を選択または作成します。このフィールドは、[目的を指定] チェック ボックスがオンの場合に利用可能です。
      詳細な操作 暗号化仕様の暗号化の目的を選択します。使用可能な値は、選択した暗号化仕様のタイプによって異なります。

      暗号化の目的の詳細については、「暗号化の目的、アルゴリズム、およびキーの情報」を参照してください。
      タイプ
      • スコープ:アプリケーションスコープ別にアクセスを制御します。
      • システムユーザー:システムユーザーが暗号化モジュールにアクセスできるようにします。
      • スクリプト:スクリプトでアクセスを制御します。詳細については、「暗号化されたデータへのスクリプトアクセスを設定する」を参照してください。
      • ロール:ユーザーロール別にアクセスを制御します。
      • リソース交換リソース交換 を使用してアクセスを制御します。詳細については、を参照してください。
      注:
      フィールド暗号化ではロールタイプのみがサポートされています。他のすべてのタイプは フィールド暗号化エンタープライズ で使用できます。
      ターゲットスコープ フィールドはスコープタイプの識別子として表示されます。ポリシーの機能を参照します。検索メニューでアプリケーションを選択します。
      注:
      ターゲットスコープはサポートされておらず、フィールド暗号化エンタープライズ でのみ設定できます。
      ターゲットロール フィールドはロールタイプの識別子として表示されます。このポリシーが適用されるロール。
      スクリプトテーブル

      ターゲットスクリプト

      このフィールドは、タイプとして [スクリプト] を選択した場合に表示されます。

      フィールドはスクリプトタイプの識別子として表示されます。このポリシーが適用されるテーブルを選択します。このポリシーが適用されるドキュメント。[テーブル名] を選択してから、ポリシーの関連ドキュメントを選択します。

      スクリプトが暗号化モジュールを初めて呼び出すと、モジュールへのアクセスが拒否され、開発者はエラーを受け取ります。このエラーにより、モジュールオーナーはモジュールへのアクセスを許可または拒否できます。

      リソース交換:

      • 暗号化仕様
      • 承認タイプ
      • ターゲットインスタンスホスト

      これらのオプションは、タイプに [リソース交換] を選択すると表示されます。

      親モジュールが column_level_encryption の場合、リソース交換 は KMF と両方でサポートされます。

      暗号化仕様、1 回または繰り返し、およびターゲットインスタンスの URL を選択します。詳細を参照してください。
      代理操作 ロールベースのモジュールアクセスポリシーでは、ユーザーは代理操作セッションを使用して暗号化されたデータにアクセスできます。アドミンなどのユーザーが他のユーザーの代理操作を行うと、そのような代理操作が有効なモジュールアクセスポリシーが適用されます。
      目的を指定 [暗号化仕様] フィールドをポリシーで使用可能なフィールドとして切り替える場合に選択します。
      [Active (アクティブ)] ポリシーを有効にする場合に選択します。
      結果 次のいずれかを選択します。
      • StrictReject は、すべての状況下でアクセスを拒否します。
      • 却下ターゲットロールまたはターゲットスコープを持つユーザーは、別のポリシーで許可されない限り、この暗号化モジュールにアクセスできません。
      • 追跡してモジュールのアクセスを許可し、モジュールの使用を監視します。
    4. [送信] を選択します。
      警告:
      従来の暗号化サポートユーザーの場合:
      エンタープライズ以外のバージョンの フィールド暗号化 を使用している場合は、5 つのモジュールに制限されます。この制限を超えると、次の警告が表示されます。
      この挿入は、サブスクリプション製品のエンタイトルメントが付与されている フィールド暗号化 に許可されている公開モジュールの数を超えています。追加のモジュールには、 フィールド暗号化 の Enterprise サブスクリプションが必要です。アカウントチームにお問い合わせください。
    5. 調べる暗号化モジュールに関連付けられているポリシー名を選択します。
      スクリプトタイプモジュールアクセスポリシーの使用:

      スクリプトが実行されると、デフォルトのアクセス設定に基づいてモジュールアクセスポリシーが自動生成されます。モジュール名の先頭には「AutoGen-」が付きます。たとえば、「Module-TestPolicy」モジュールは、[ポリシー名] 列に「AutoGen-Module-TestPolicy」と表示されます。

      暗号化発信者ポリシーフォームに、選択した発信者ポリシーがリストされます。[ターゲットスコープ] フィールドで、モジュールを使用しようとするスクリプトのスコープを指定します。詳細については、「暗号化されたデータへのスクリプトアクセスを設定する」を参照してください。

      注:
      フィールド暗号化 では最大 5 つのモジュールアクセスポリシーが許可されます。設定オプションについては、「暗号化とキー管理のサブスクリプションバンドル」を参照してください。