フィールド暗号化のモジュールアクセスポリシーの構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • モジュールアクセスポリシーを作成して、フィールド暗号化モジュールで暗号化されたデータを暗号化または復号化できるユーザー、スクリプト、またはシステムプロセスを制御します。

    始める前に

    必要なロール:KMF Admin または KMF Cryptographic Manager、Security Admin

    このプロセスを使用するには、公開されたフィールド暗号化モジュールが必要です。まだ行っていない場合は、 フィールド暗号化モジュールの構成を参照してください。

    このタスクについて

    モジュールアクセスポリシー (MAP) は、フィールド暗号化モジュールに適用して、データを暗号化または復号化できるユーザー、スクリプト、またはシステムプロセスを定義するアクセス制御です。「システム」コンテキストで実行されているユーザー、スクリプト、またはプロセスの MAP を (ロールを介して) 構成します。MAP がないと、ユーザー、スクリプト、またはシステムプロセスはデータを暗号化または復号化できないため、エンドツーエンドのワークフロープロセスが正しく機能しなくなる可能性があります。

    MAP はアクセス制御リスト (ACL) とは別ですが、ACL(Access Control List)と組み合わせて使用できます。MAP の目的の詳細については、 フィールド暗号化 の探索 を参照してください。

    フィールド暗号化エンタープライズについては、を確認して、マップを必要とするユーザー、スクリプト、またはシステムプロセスを計画します。

    手順

    1. 移動先 すべて > キー管理 > モジュールアクセスポリシー > すべて.
    2. [New (新規)] を選択します。
    3. 必要に応じて、[モジュールアクセスポリシー] フォームのフィールドに入力します。
      フィールド 説明
      ポリシー名 マップの名前
      暗号化されたモジュール このマップによって管理されるフィールド暗号化モジュールを選択します。
      暗号化仕様 オプション。この MAP の暗号化仕様を選択または新規作成します。

      このフィールドは、[ 目的を指定 ] フィールドが有効になっている場合にのみ表示されます。
      タイプ データを暗号化または復号化するために、この MAP へのアクセス権を持つユーザーまたは対象を決定します。
      スコープ
      指定されたアプリケーションスコープ内のすべてのものがこのマップにアクセスできます。
      ロール
      特定のロールを持つユーザーのみがこのマップにアクセスできます。
      スクリプト
      指定されたスクリプトがこのマップにアクセスできることを確認します。
      システムアクセス
      「システムコンテキスト」で実行されているプロセスがこの MAP にアクセスできるようにします。
      リソース交換
      このマップへのリソース交換機能アクセスを許可します。

      これらのさまざまなタイプの MAP の仕組みの詳細については、「 フィールド暗号化 の探索」を参照してください。
      ターゲットスコープ このマップが適用されるスコープを選択します。

      このフィールドは、[ タイプ ] フィールドが [スコープ] に設定されている場合にのみ表示されます。
      目的を指定 オプション。有効にすると、フォームに [ 暗号化仕様 ] フィールドが表示されます。一部のユーザーが暗号化はできるが復号化できないなど、詳細な操作を構成するには、このオプションを有効にします。
      詳細な操作 オプション。暗号化仕様の暗号化の目的を選択します。使用可能な値は、選択した暗号化仕様のタイプによって異なります。

      たとえば、この MAP では、ユーザーに暗号化のみを許可し、復号化は許可しないように、またはその逆、またはその両方を指定できます。

      このフィールドは、[ 暗号化仕様 ] フィールドに値がある場合にのみ表示されます。
      • ユーザーが暗号化アクセス権を持っているが、復号化アクセス権がない場合、フィールドは編集モードで表示され、入力されたデータはアスタリスクとして表示されます。
      • ユーザーが復号化アクセス権を持っているが、暗号化アクセス権がない場合、フィールドには復号化されたデータが読み取り専用モードで表示されます。
      • ユーザーが暗号化と復号化のアクセス権を持っている場合、暗号化フィールドでは読み取りと書き込みの両方の機能を使用できます。
      ターゲットロール このマップにアクセスするロールを選択します。

      このフィールドは、[タイプ] フィールドが [ロール] に設定されている場合にのみ表示されます
      スクリプトテーブル このマップに適用するスクリプトのタイプを選択します。
      • アクセス制御
      • アクティビティデザイナー
      • ビジネスルール
      • 受信メールアクション
      • レコードプロデューサー
      • スクリプトの実行を予定
      • スクリプトインクルード
      • UI アクション
      • ウィジェット
      • ワークフローアクティビティ

      このフィールドは、[ タイプ ] フィールドが [スクリプト] に設定されている場合にのみ表示されます。
      ターゲットスクリプト このマップにアクセスする必要がある [スクリプトテーブル ] フィールドで選択したテーブルタイプの特定のスクリプトを選択します。

      このフィールドは、[ タイプ ] フィールドが [スクリプト] に設定されている場合にのみ表示されます。

      スクリプトバージョンのチェック 選択すると、実行されるスクリプトのバージョンが [ターゲットスクリプト ] フィールドで指定されたバージョンでチェックされます。バージョンが異なる場合は、アドミニストレーターに通知されます。

      このフィールドは、[ タイプ ] フィールドが [スクリプト] に設定されている場合にのみ表示されます。

      承認タイプ [1 回] または [繰り返し] を選択します
      ワンタイム
      関連付けられたフィールド暗号化モジュールの対称データ暗号化キーを、ターゲットインスタンスと 1 回だけ安全に共有できます。
      繰り返し
      関連付けられたフィールド暗号化モジュールの対称データ暗号化キーを、繰り返しターゲットインスタンスと安全に共有できるようにします。

      このフィールドは、[ タイプ ] フィールドが [リソース交換] に設定されている場合にのみ表示されます。

      ターゲットインスタンスホスト 関連するフィールド暗号化モジュール内の対称データ暗号化キーの送信先のターゲットインスタンスの URL を入力します。

      このフィールドは、[ タイプ ] フィールドが [リソース交換] に設定されている場合にのみ表示されます。

      代理操作 有効にすると、別のユーザーの代理操作を行うユーザーは、両方のユーザーから MAP 権限を取得します。無効にすると、別のユーザーの代理操作を行うユーザーには、代理操作の前から付与された MAP 権限のみが付与されます。
      アクティブ この MAP を有効にすることができます。
      結果 次のいずれかを選択します。
      トラック
      MAP へのアクセスを許可し、使用を監視します。
      却下
      別の MAP がアクセスを許可しない限り、アクセスを拒否します。
      StrictReject
      別の MAP がアクセスを許可する場合でも、すべての状況下でアクセスを拒否します。
    4. [Submit (送信)] を選択します。