Criação de uma política de acesso ao módulo

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Crie políticas de acesso ao módulo para impor limites aos dados que podem ser criptografados ou descriptografados.

    Antes de Iniciar

    Função necessária: sn_kmf.cryptographic_manager ou sn_kmf.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A Column Level Encryption (CLE) oferece suporte a políticas de acesso ao módulo baseadas em função e opções de configuração adicionais ficam disponíveis com a funcionalidade (CLE_Ent).
    • Configure a operação criptográfica específica nas políticas de acesso do módulo para módulos criptográficos que dão suporte operações simétricas Por exemplo, um usuário pode ter permissão para criptografar dados, mas não para descriptografar dados.
    • Defina um valor de política de acesso ao módulo padrão por ou módulo criptográfico.
    • Associe versões de script em que as mudanças no script são rastreadas e invalidam a política de script, fornecendo melhor segurança para políticas de acesso ao módulo do tipo script.
    A funcionalidade CLE_Ent está disponível com uma assinatura paga. Consulte para obter os recursos compatíveis e as opções disponíveis com cada oferta. Para obter mais informações, consulte Criptografia em nível de coluna para empresas.
    Nota:
    O comportamento padrão das políticas de acesso ao módulo (MAPs) é Rejeitar para ajudar a impedir qualquer acesso não autorizado, a menos que seja explicitamente declarado nos registros do MAP.

    Procedimento

    1. Navegar até Tudo > Gestão de chave > Políticas de Acesso ao Módulo > Todos.
      Se você não criar um módulo criptográfico configurado para Criptografia/descriptografia de dados simétrica, uma política de acesso ao módulo gerada automaticamente será criada e listada na tabela.
    2. Clique em Novo.
      • Selecione Especificar finalidade para escolher uma Especificação de criptografia e definir a Operação granular.Ao marcar a caixa de seleção Especificar finalidade, os campos de especificação criptográfica ficam disponíveis.
      • Com as especificações criptográficas para criptografia/descriptografia simétrica de dados e encapsulamento/desencapsulamento simétrico, o campo Operação granular ficará disponível se você marcar a caixa de seleção Especificar finalidade.

        Lista de operação granular.

    3. Preencha o formulário.
      Campos de políticas de acesso ao módulo
      Campo Descrição
      Nome da política Insira um nome para a política.
      Módulo de criptografia Clique no ícone de pesquisa (ícone de Pesquisa) para selecionar um módulo.
      Especificação de criptografia Selecione ou crie uma nova especificação criptográfica ao gerar a política de acesso ao módulo. Este campo se torna disponível quando a caixa de seleção Especificar finalidade é marcada.
      Operação granular Selecione a finalidade criptográfica na especificação criptográfica. Os valores disponíveis dependem do tipo de especificação criptográfica selecionada.

      Consulte para obter detalhes sobre finalidades de criptografia.
      Tipo
      • Escopo: controla o acesso pelo escopo da aplicação.
      • Usuário do sistema: permite que os usuários do sistema acessem os módulos de criptografia.
      • Script: controla o acesso por script. Consulte para obter mais informações
      • Função: controla o acesso por função do usuário.
      • Troca de recurso: controla o acesso usando Resource Exchange. Para obter mais informações, consulte .
      Nota:
      Somente o tipo Função é compatível com a Column Level Encryption Todos os outros tipos estão disponíveis com Criptografia em nível de coluna para empresas.
      Escopo de destino O campo está visível como um identificador do tipo Escopo. Refere-se à funcionalidade da política. Selecione as aplicações no menu de pesquisa.
      Nota:
      O escopo de destino não é compatível e só pode ser definido com Criptografia em nível de coluna para empresas
      Função de destino O campo está visível como um identificador do tipo Função. Função á qual essa política se aplica.
      Tabela de scripts

      Scripts de destino

      Esses campos aparecem quando você seleciona Script como o tipo.

      O campo está visível como um identificador do tipo Script. Seleciona uma tabela à qual essa política se aplica. Documento ao qual essa política se aplica. Selecione o Nome da tabela e o documento relacionado à política.

      Na primeira vez que um script chama um módulo criptográfico, o acesso ao módulo é negado e o desenvolvedor recebe um erro. Este erro concede ao proprietário do módulo a capacidade de conceder ou recusar acesso ao módulo.

      Troca de recursos:

      • Especificação de criptografia
      • Tipo de aprovação
      • Host de instância de destino

      Essas opções aparecem quando você seleciona como o tipo.

      Resource Exchange é compatível com KMF e quando o módulo primário é column_level_encryption.

      Selecione a especificação de criptografia, Única ou Recorrente, e o URL da instância de destino. Para obter mais informações, consulte .
      Representação Nas políticas de acesso ao módulo baseadas em função, os usuários podem acessar dados criptografados usando uma sessão de representação. Quando usuários, como os administradores, representam outros usuários, essas políticas de acesso ao módulo habilitadas para representação são aplicadas.
      Especificação de finalidade Selecione para alternar o campo de especificação de criptografia como um campo disponível para a política.
      Ativo Selecione para ativar a política.
      Resultado Selecione uma das seguintes propriedades:
      • StrictReject rejeita o acesso em todas as circunstâncias.
      • Rejeitar rejeita usuários com a Função de destino ou Escopo de destino de acessar este módulo criptográfico, a menos que outra política conceda acesso a eles.
      • Rastrear para permitir o acesso e monitorar o uso do módulo.
    4. Selecione Enviar.
      Aviso:
      Para usuários de suporte a criptografia legada:
      Se estiver usando a versão não Enterprise de Column Level Encryption, há um limite de cinco módulos. Se você excedeu esse limite, o seguinte aviso será exibido:
      Esta inserção excede o limite de módulos publicados para o Column Level Encryption  disponíveis com a assinatura do produto. A assinatura Enterprise para o Column Level Encryption é necessária para outros módulos. Entre em contato com sua equipe de conta.
    5. Seleção do nome da política associada ao módulo criptográfico que você deseja examinar.
      Usando a política de acesso ao módulo do tipo Script:

      Uma política de acesso ao módulo é gerada automaticamente com base na configuração de acesso padrão quando o script é executado. O nome do módulo é precedido por AutoGen-. Por exemplo, o módulo Module-TestPolicy está listado como AutoGen-Module-TestPolicy na coluna Nome da política.

      O formulário Política de chamador criptográfico lista a política de chamador que você selecionou. O campo Escopo de destino especifica o escopo do script que está tentando usar o módulo. Consulte para obter informações adicionais.

      Nota:
      Com a Column Level Encryption, são permitidas no máximo cinco políticas de acesso ao módulo. Consulte para obter opções de configuração.