모듈 액세스 정책(MAP)은 암호화 모듈에 액세스하기 위한 인스턴스 수준 제어를 정의합니다. 호출자(예: 사용자 또는 스크립트)가 암호화 및 암호 해독을 위해 암호화 모듈을 사용하려면 명시적 액세스 권한이 필요합니다. 호출자가 암호화 모듈에 액세스하려고 할 때 평가되는 MAP이 항상 명확하지는 않습니다. 디버거를 사용하여 호출자가 암호화 모듈에 액세스하려고 할 때 평가되는 정책을 확인하고 액세스 권한이 부여되거나 부여되지 않는 이유를 알아봅니다.

이 흐름도는 인스턴스가 암호화 모듈에 대한 액세스 요청을 평가하는 방법을 보여줍니다.

디버그 로그에 대한 액세스 제어

모듈 액세스 디버그 로그에 대한 액세스는 역할에 따라 결정됩니다. and sn_kmf.cryptographic_manager 역할이 sn_kmf.admin 있는 사용자는 항상 디버거에 액세스할 수 있습니다. 시스템 속성을 사용하여 다른 역할에 대한 액세스 권한을 부여합니다 glide.kmf.module_access_policies.debugger.authorized.roles . 이 속성의 값은 디버그 로그에 액세스하는 역할의 목록으로, 쉼표로 구분됩니다.

디버거 사용 또는 사용 안 함

모듈 액세스 정책에 대한 디버그 로깅 메시지를 활성화하려면 모두 > 진단 > 세션 디버그 > 디버그 모듈 액세스 정책 > .

디버깅이 완료되면 다음으로 이동하여 로깅 메시지를 비활성화할 수 있습니다. 모두 > 진단 > 세션 디버그 > 모두 사용 안 함 > .

로그에 액세스

이 예제에서 호출자는 global.fuji 암호화 모듈에 대한 두 개의 액세스 요청을 호출합니다. 대칭 암호화가 부여되고 대칭 암호 해독이 거부되었습니다.

로그 항목 이해

디버깅 정보는 이 형식을 사용하여 구성됩니다.

1. 이 첫 번째 줄에는 액세스 요청을 수신하는 암호화 모듈이 표시됩니다.
2. 첫 번째 줄과 마지막 줄 사이의 줄에는 평가된 MAP이 평가된 순서대로 표시되며 이름, 유형, 대상, 세분화된 작업 및 결과가 포함됩니다.
3. 마지막 줄에는 정책 결정(해당하는 경우) 및 호출자에 대한 네트워크 액세스 결과(호출자에게 액세스 권한이 부여되었는지 여부)가 표시됩니다.

각 줄은 메시지 유형을 나타내는 아이콘으로 시작합니다.

표 1. 메시지 아이콘

아이콘	메시지 유형
	정보 메시지
	모듈 액세스 정책이 액세스를 부여합니다.
	모듈 액세스 정책이 액세스를 거부합니다.
	호출자에 접근 권한이 부여됨
	호출자의 접근이 거부되었습니다.
	평가할 모듈 접근 정책 없음

디버그 로그 예

액세스 권한 부여 메시지

접근 거부 메시지

액세스 거부됨(평가할 모듈 액세스 정책 없음)

접근 거부됨(권한 부족)