Criar uma política de acesso ao módulo

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Crie políticas de acesso ao módulo para determinar quais usuários e scripts poderão acessar dados criptografados por um módulo criptográfico.

    Antes de Iniciar

    Função necessária: sn_kmf.cryptographic_manager ou sn_kmf.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A Criptografia de campo aceita o uso de políticas de acesso ao módulo baseadas em função, e as opções de configuração adicionais ficam disponíveis com a funcionalidade (CLE_Ent).
    • Configure a operação criptográfica específica nas políticas de acesso do módulo para módulos criptográficos que dão suporte operações simétricas Por exemplo, um usuário pode estar ativado para criptografar dados, mas não para descriptografar dados.
    • Defina um valor padrão da política de acesso ao módulo, ou de acordo com o módulo criptográfico.
    • Associa versões de script em que as mudanças no script são rastreadas e invalida a política de script, fornecendo melhor segurança para políticas de acesso ao módulo do tipo script.
    A funcionalidade CLE_Ent está disponível com uma assinatura paga. Consulte para conhecer os recursos suportados e as opções disponíveis com cada oferta. Para obter mais informações, consulte Criptografia de campo Enterprise.
    Nota:
    O comportamento padrão das políticas de acesso ao módulo (MAPs) é Rejeitar para ajudar a impedir qualquer acesso não autorizado, a menos que explicitamente declarado nos registros MAP.

    Procedimento

    1. Navegar até Tudo > Gestão de chave > Políticas de Acesso ao Módulo > Todos .
      Se você não criar um módulo criptográfico configurado para criptografia/descriptografia de dados simétricos, uma política de acesso ao módulo será gerada manualmente e listada na tabela.
    2. Selecione Novo.
      • Selecione Especificar finalidade para escolher uma Especificação de criptografia e definir a Operação granular.Ao marcar a caixa de seleção Especificar finalidade, os campos de especificações criptográficas estarão disponíveis.
      • Com as especificações criptográficas para criptografia/descriptografia simétrica de dados e encapsulamento/desencapsulamento simétrico, o campo Operação granular ficará disponível se você marcar a caixa de seleção Especificar finalidade.

        Lista de operação granular.

    3. Preencha o formulário.
      Campos de políticas de acesso ao módulo
      Campo Descrição
      Nome da política Insira um nome para a política.
      Módulo de criptografia Selecione o ícone de pesquisa (ícone de Pesquisa) para selecionar um módulo.
      Especificação de criptografia Selecione ou crie uma especificação criptográfica ao gerar a política de acesso ao módulo. Este campo se torna disponível quando a caixa de seleção Especificar finalidade é marcada.
      Operação granular Selecione a finalidade criptográfica na especificação criptográfica. Os valores disponíveis dependem do tipo de especificação criptográfica selecionada.

      Consulte para obter detalhes sobre finalidades de criptografia.
      Tipo
      • Escopo: controla o acesso pelo escopo da aplicação.
      • Usuário do sistema: permite que os usuários do sistema acessem os módulos de criptografia.
      • Script: controla o acesso por script. Consulte para obter mais informações
      • Função: controla o acesso por função do usuário.
      • Troca de recurso: controla o acesso usando Resource Exchange. Consulte para saber mais.
      Nota:
      Somente o tipo "Função" é compatível com a Criptografia de campo. Todos os outros tipos estão disponíveis com Criptografia de campo Enterprise.
      Escopo de destino O campo está visível como um identificador do tipo Escopo. Refere-se à funcionalidade da política. Selecione as aplicações no menu de pesquisa.
      Nota:
      O escopo de destino não é compatível e só pode ser definido com Criptografia de campo Enterprise
      Função de destino O campo está visível como um identificador do tipo Função. Função á qual essa política se aplica.
      Tabela de scripts

      Scripts de destino

      Esses campos aparecem quando você seleciona script como o tipo.

      O campo está visível como um identificador do tipo Script. Seleciona uma tabela à qual essa política se aplica. Documento ao qual essa política se aplica. Selecione o Nome da tabela e o documento relacionado à política.

      Na primeira vez que um script chama um módulo criptográfico, o acesso ao módulo é negado e o desenvolvedor recebe um erro. Isso concede ao proprietário do módulo a capacidade de conceder ou recusar acesso ao módulo.

      Troca de recursos:

      • Especificação de criptografia
      • Tipo de aprovação
      • Host de instância de destino

      Essas opções aparecem quando você seleciona como tipo.

      Resource Exchange é compatível com KMF e quando o módulo primário é column_level_encryption.

      Selecione a especificação de criptografia, Única ou Recorrente, e o URL da instância de destino. Consulte para saber mais.
      Representação Nas políticas de acesso ao módulo baseadas em função, os usuários podem acessar dados criptografados usando uma sessão de representação. Quando usuários, como os administradores, representam outros usuários, essas políticas de acesso ao módulo habilitadas para representação são aplicadas.
      Especificar finalidade Selecione para alternar o campo de especificação de criptografia e deixá-lo disponível para a política.
      Ativo Selecione para ativar a política.
      Resultado Selecione uma das seguintes propriedades:
      • StrictReject rejeita o acesso em todas as circunstâncias.
      • Rejeitar rejeita os usuários com a Função de destino ou o Escopo de destino acessem este módulo de criptografia, a menos que outra política permita o acesso.
      • Rastrear para permitir o acesso e monitorar o uso do módulo.
    4. Selecione Enviar.
      Aviso:
      Para usuários de suporte a criptografia legada:
      Se você estiver usando a versão não Enterprise da Criptografia de campo, haverá um limite de cinco módulos. Se você ultrapassou esse limite, o seguinte aviso será exibido:
      Esse módulo ultrapassa a quantidade máxima de módulos publicados permitidos para a Criptografia de campo que acompanha a assinatura do produto. A assinatura Enterprise para a Criptografia de campo é necessária para a adição de outros módulos. Entre em contato com sua equipe de conta.
    5. Seleção do nome da política associada ao módulo criptográfico que você deseja examinar.
      Usando a política de acesso ao módulo do tipo Script:

      Uma política de acesso ao módulo é gerada automaticamente com base na configuração de acesso padrão quando o script é executado. O nome do módulo é precedido por AutoGen-. Por exemplo, o módulo Module-TestPolicy está listado como AutoGen-Module-TestPolicy na coluna Nome da política.

      O formulário de Política de solicitante de criptografia lista a política de solicitante que você selecionou. O campo Escopo de destino especifica o escopo do script que está tentando usar o módulo. Consulte para obter informações adicionais.

      Nota:
      Com a Criptografia de campo, são permitidas no máximo cinco políticas de acesso ao módulo. Consulte para opções de configuração.