모듈 액세스 정책 만들기

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 모듈 액세스 정책을 만들어 데이터를 암호화하거나 복호화할 수 있는지 여부를 제한합니다.

    시작하기 전에

    필요한 역할: sn_kmf.cryptographic_manager 또는 sn_kmf.admin

    이 태스크 정보

    CLE(열 수준 암호화)는 역할 기반 모듈 액세스 정책을 지원하며 (CLE_Ent) 기능을 통해 추가 구성 옵션을 사용할 수 있습니다.
    • 대칭 운영을 지원하는 암호화 모듈에 대한 모듈 액세스 정책에서 특정 암호화 운영을 구성합니다. 예를 들어 사용자는 데이터를 암호화할 수 있지만 해독은 허용하지 않을 수 있습니다.
    • 또는 암호화 모듈당 기본 모듈 접근 정책 값을 설정합니다.
    • 스크립트에 대한 변경 내용이 추적되는 스크립트 버전을 연결하고 스크립트 정책을 무효화하여 스크립트 유형 모듈 액세스 정책에 대한 보안을 강화합니다.
    CLE_Ent 기능은 유료 구독으로 사용할 수 있습니다. 각 오퍼링에서 사용할 수 있는 지원되는 기능 및 옵션에 대해서는 을 참조하십시오. 자세한 내용은 열 수준 암호화 엔터프라이즈 문서를 참조하십시오.
    주:
    모듈 액세스 정책(MAP)의 기본 동작은 MAP 레코드에 명시적으로 선언되지 않는 한 무단 액세스를 방지하는 데 도움이 되는 거부입니다.

    프로시저

    1. 다음으로 이동 모두 > 주요 운영 > 모듈 접근 정책 > 모두.
      대칭 데이터 암호화/암호 해독을 위해 구성된 암호화 모듈을 만들지 않으면 자동 생성된 모듈 액세스 정책이 만들어지고 테이블에 나열됩니다.
    2. 새로 만들기를 클릭합니다.
      • 목적 지정을 선택하여 암호화 사양을 선택하고 세분화된 작업을 설정합니다.목적 지정 확인란을 선택하면 암호화 사양 필드를 사용할 수 있습니다.
      • 대칭 데이터 암호화/암호 해독 및 대칭 래핑/래핑 해제에 대한 암호화 사양을 사용하는 경우 목적 지정 확인란을 선택하면 세분화된 작업 필드를 사용할 수 있습니다.

        세분화된 작업 목록입니다.

    3. 양식을 작성합니다.
      모듈 접근 정책 필드
      필드 설명
      정책 이름 정책 이름을 입력합니다.
      암호화 모듈 검색 아이콘( 검색 아이콘. )을 클릭하여 모듈을 선택합니다.
      암호화 사양 모듈 액세스 정책을 생성하는 동안 새 암호화 사양을 선택하거나 생성합니다. 이 필드는 목적 지정 확인란을 선택한 경우에만 사용할 수 있습니다.
      세분화된 운영 암호화 사양의 암호화 용도를 선택합니다. 사용 가능한 값은 선택한 암호화 사양의 유형에 따라 다릅니다.

      암호화 목적에 대한 자세한 내용은 을 참조하십시오 암호화 목적, 알고리즘 및 주요 정보 .
      유형
      • 범위: 애플리케이션 범위로 액세스를 제어합니다.
      • 시스템 사용자: 시스템 사용자가 암호화 모듈에 액세스할 수 있습니다.
      • 스크립트: 스크립트로 접근을 제어합니다. 자세한 내용은 암호화된 데이터에 대한 스크립트 접근 구성 문서를 참조하십시오.
      • 역할: 사용자 역할로 액세스를 제어합니다.
      • Resource Exchange: 를 사용하여 액세스를 제어합니다 자원 교환. 자세한 내용은 키 관리 프레임워크 자원 교환 문서를 참조하십시오.
      주:
      역할 유형만 열 수준 암호화에서 지원됩니다. 다른 모든 유형은 와 함께 열 수준 암호화 엔터프라이즈사용할 수 있습니다.
      대상 범위 필드는 범위 유형에 대한 식별자로 표시됩니다. 정책의 기능을 참조합니다. 검색 메뉴에서 애플리케이션을 선택합니다.
      주:
      대상 범위는 지원되지 않으며 다음으로 설정만 가능합니다. 열 수준 암호화 엔터프라이즈
      대상 역할 필드는 역할 유형에 대한 식별자로 표시됩니다. 이 정책이 적용되는 역할입니다.
      스크립트 테이블

      대상 스크립트

      이러한 필드는 스크립트를 유형으로 선택할 때 나타납니다.

      필드는 스크립트 유형의 식별자로 표시됩니다. 이 정책이 적용되는 테이블을 선택합니다. 이 정책이 적용되는 문서입니다. 테이블 이름을 선택한 다음 정책에 대한 관련 문서를 선택합니다.

      스크립트가 암호화 모듈을 처음 호출하면 모듈에 대한 액세스가 거부되고 개발자는 오류를 수신합니다. 이렇게 하면 모듈 소유자가 모듈에 대한 액세스 권한을 부여하거나 거부할 수 있습니다.

      자원 교환:

      • 암호화 사양
      • 승인 유형
      • 대상 인스턴스 호스트

      이러한 옵션은 유형으로 선택할 자원 교환 때 나타납니다.

      자원 교환 는 KMF와 열 수준 암호화 엔터프라이즈 상위 모듈이 column_level_encryption 때 둘 다에서 지원됩니다.

      암호화 사양, 일회성 또는 반복 및 대상 인스턴스의 URL을 선택합니다. 자세한 내용은 키 관리 프레임워크 자원 교환 문서를 참조하십시오.
      Impersonation 역할 기반 모듈 액세스 정책에서 사용자는 가장 세션을 사용하여 암호화된 데이터에 액세스할 수 있습니다. 관리자와 같은 사용자가 다른 사용자를 가장하면 이러한 가장을 사용하는 모듈 액세스 정책이 적용됩니다.
      목적 지정 암호화 사양 필드를 정책에 사용할 수 있는 필드로 전환하려면 선택합니다.
      활성 선택하면 정책이 활성화됩니다.
      결과 다음 중 하나를 선택합니다.
      • StrictReject 는 모든 상황에서 액세스를 거부합니다.
      • 거부는 다른 정책이 액세스 권한을 부여하지 않는 한 대상 역할 또는 대상 범위를 가진 사용자가 이 암호화 모듈에 액세스하는 것을 거부합니다.
      • 모듈 액세스를 허용하고 모듈 사용을 모니터링하기 위해 추적합니다.
    4. 제출을 선택합니다.
      경고:
      레거시 암호화 지원 사용자의 경우:
      엔터프라이즈가 아닌 버전의 Column Level Encryption을 사용하는 경우 모듈이 5개로 제한됩니다. 이 한도를 초과하면 다음과 같은 경고가 표시됩니다.
      이 삽입은 구독 제품에 부여된 열 수준 암호화에 대해 게시된 모듈 수 제한을 초과합니다. 추가 모듈에는 Column Level Encryption에 대한 엔터프라이즈 구독이 필요합니다. 계정 팀에 문의하세요.
    5. 검사하려는 암호화 모듈과 연결된 정책 이름을 선택합니다.
      스크립트 유형 모듈 액세스 정책 사용:

      모듈 액세스 정책은 스크립트가 실행될 때 기본 액세스 설정에 따라 자동으로 생성됩니다. 모듈 이름 앞에는 "AutoGen-"이 붙습니다. 예를 들어 "Module-TestPolicy" 모듈은 정책 이름 열에 "AutoGen-Module-TestPolicy"로 나열됩니다.

      암호화 발신자 정책 양식에는 선택한 발신자 정책이 나열됩니다. 대상 범위 필드는 모듈을 사용하려고 하는 스크립트의 범위를 지정합니다. 자세한 내용은 암호화된 데이터에 대한 스크립트 접근 구성 문서를 참조하십시오.

      주:
      Column Level Encryption에는 최대 5개의 모듈 액세스 정책이 허용됩니다. 구성 옵션은 을 참조하십시오 Encryption and Key Management 구독 번들 .CLE에서 생성된 최대 모듈에 대한 오류 메시지입니다.