モジュールアクセスポリシー (MAP) は、暗号化モジュールへのアクセスに対するインスタンスレベルの制御を定義します。問い合わせユーザー (ユーザーやスクリプトなど) は、暗号化と復号化に暗号化モジュールを使用するために明示的なアクセス権を必要とします。デバッガを使用して、発信者が暗号化モジュールにアクセスを試みたときに評価されるポリシーを確認します。また、デバッガーを使用して、アクセスが許可される理由と付与されない理由を確認することもできます。

このフローチャートは、インスタンスが暗号化モジュールへのアクセス要求を評価する方法を示しています。

デバッグログへのアクセスの制御

モジュールアクセスのデバッグログへのアクセスは、ロールによって決まります。sn_kmf.admin ロールと sn_kmf.cryptographic_manager ロールを持つユーザーは、デバッガーにアクセスできます。glide.kmf.module_access_policies.debugger.authorized.roles システムプロパティを使用して、他のロールにアクセス権を付与します。このプロパティの値は、デバッグログにアクセスできるロールのカンマ区切りリストです。

デバッガの有効化または無効化

モジュールアクセスポリシーのデバッグログメッセージを有効にするには、 すべて > 診断 > セッションのデバッグ > モジュールアクセスポリシーのデバッグ > .

デバッグが完了したら、 すべて > 診断 > セッションのデバッグ > すべて無効化 > .

ログへのアクセス

この例では、問い合わせユーザーが global.fuji 暗号化モジュールへの 2 つのアクセス要求を呼び出します。対称暗号化は許可され、対称復号化は拒否されています。

ログエントリについて

デバッグ情報は、この形式を使用して構造化されます。

1. この最初の行にはアクセス要求を受信する暗号化モジュールが表示されます。
2. 最初の行と最後の行の間にある行には、評価済みの MAP が評価された順に表示され、名前、タイプ、ターゲット、詳細な操作、および結果が含まれています。
3. 最後の行には、ポリシー決定 (該当する場合) と問い合わせユーザーの正味アクセス結果 (問い合わせユーザーにアクセス権が付与されているかどうか) が表示されます。

各行はメッセージタイプを示すアイコンで始まります。

表 : 1. メッセージアイコン

アイコン	メッセージタイプ
	情報メッセージ
	モジュールアクセスポリシーによりアクセス権が付与される
	モジュールアクセスポリシーによりアクセスが拒否される
	問い合わせユーザーのアクセスが許可される
	問い合わせユーザーへのアクセスが拒否される
	評価するモジュールアクセスポリシーなし

デバッグログの例

アクセスが許可された場合のメッセージ

アクセスが拒否された場合のメッセージ

アクセスが拒否されました (評価するモジュールアクセスポリシーなし)

アクセスが拒否されました (十分な権限がない)