모듈 액세스 정책(MAP)은 암호화 모듈에 액세스하기 위한 인스턴스 수준 제어를 정의합니다. 호출자(예: 사용자 또는 스크립트)는 암호화 및 암호 해독을 위해 암호화 모듈을 사용하기 위해 명시적 액세스 권한이 필요합니다. 호출자가 암호화 모듈에 액세스하려고 할 때 어떤 MAP이 평가되는지 항상 명확하지는 않습니다. 디버거를 사용하여 호출자가 암호화 모듈에 액세스하려고 할 때 평가되는 정책을 확인하고 액세스 권한이 부여되거나 부여되지 않는 이유를 알아봅니다.

이 흐름도는 인스턴스가 암호화 모듈에 대한 액세스 요청을 평가하는 방법을 보여줍니다.

디버그 로그에 대한 액세스 제어

모듈 액세스 디버그 로그에 대한 액세스는 역할에 따라 결정됩니다. 및 sn_kmf.cryptographic_manager 역할이 sn_kmf.admin 있는 사용자는 항상 디버거에 액세스할 수 있습니다. 시스템 속성을 사용하여 glide.kmf.module_access_policies.debugger.authorized.roles 다른 역할에 대한 액세스 권한을 부여합니다. 이 속성의 값은 디버그 로그에 액세스하는 쉼표로 구분된 역할 목록입니다.

디버거 사용 또는 사용 안 함

모듈 액세스 정책에 대한 디버그 로깅 메시지를 활성화하려면 다음으로 이동합니다. 모두 > 진단 > 세션 디버그 > 디버그 모듈 액세스 정책 > 레이블이 표시됩니다.

디버깅이 완료되면 다음으로 이동하여 로깅 메시지를 사용하지 않도록 설정할 수 있습니다. 모두 > 진단 > 세션 디버그 > 모두 사용 안 함 > 레이블이 표시됩니다.

로그에 액세스

이 예제에서 호출자는 global.fuji 암호화 모듈에 대한 두 개의 액세스 요청을 호출합니다. 부여되는 대칭 암호화와 거부된 대칭 암호 해독입니다.

로그 항목 이해

디버깅 정보는 이 형식을 사용하여 구조화됩니다.

1. 이 첫 번째 줄에는 액세스 요청을 수신하는 암호화 모듈이 표시됩니다.
2. 첫 번째 줄과 마지막 줄 사이의 줄에는 평가된 MAP이 평가된 순서대로 표시되며 이름, 유형, 대상, 세분화된 작업 및 결과가 포함됩니다.
3. 마지막 줄에는 정책 결정(해당하는 경우)과 호출자에 대한 순 액세스 결과(호출자에게 액세스 권한이 부여되었는지 여부)가 표시됩니다.

각 줄은 메시지 유형을 나타내는 아이콘으로 시작합니다.

표 1. 메시지 아이콘

아이콘	메시지 유형
	정보 메시지
	모듈 접근 정책에 액세스 권한 부여
	모듈 액세스 정책은 액세스를 거부합니다.
	호출자에 접근 권한이 부여됨
	호출자의 접근이 거부되었습니다.
	평가할 모듈 접근 정책 없음

디버그 로그 예제

액세스 허용 메시지

액세스 거부 메시지

액세스 거부됨(평가할 모듈 액세스 정책 없음)

액세스 거부됨(권한 부족)