Criação de uma política de acesso ao módulo

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Crie políticas de acesso ao módulo para estabelecer limites sobre se os dados podem ser criptografados ou descriptografados.

    Antes de Iniciar

    Função necessária: sn_kmf.cryptographic_manager ou sn_kmf.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A Criptografia em nível de coluna (CLE) oferece suporte a políticas de acesso ao módulo baseadas em função e opções de configuração adicionais ficam disponíveis com a funcionalidade (CLE_Ent).
    • Configure a operação criptográfica específica nas políticas de acesso do módulo para módulos criptográficos que dão suporte operações simétricas Por exemplo, um usuário pode ter permissão para criptografar dados, mas não para descriptografar dados.
    • Define um valor padrão de política de acesso ao módulo por ou módulo criptográfico.
    • Associa versões de script em que as mudanças no script são rastreadas e invalida a política de script, fornecendo melhor segurança para políticas de acesso ao módulo do tipo script.
    A funcionalidade CLE_Ent está disponível com uma assinatura paga. Consulte para conhecer os recursos suportados e as opções disponíveis com cada oferta. Para obter mais informações, consulte Criptografia em nível de coluna para empresas.
    Nota:
    O comportamento padrão das políticas de acesso ao módulo (MAPs) é Rejeitar para ajudar a impedir qualquer acesso não autorizado, a menos que explicitamente declarado nos registros MAP.

    Procedimento

    1. Navegar até Todos > Gestão de chave > Políticas de Acesso ao Módulo > Todos.
      Quando você cria um módulo criptográfico configurado para criptografia/descriptografia de dados simétricos, uma política de acesso de módulo é criada manualmente e será listada na tabela.
    2. Clique em Novo.
      • Selecione Especificar finalidade para escolher uma Especificação de criptografia e definir a Operação granular.Ao marcar a caixa de seleção Especificar finalidade, os campos de especificações criptográficas estarão disponíveis.
      • Com as especificações criptográficas para criptografia/descriptografia simétrica de dados e encapsulamento/desencapsulamento simétrico, o campo Operação granular ficará disponível se você marcar a caixa de seleção Especificar finalidade.

        Lista de operação granular.

    3. Preencha o formulário.
      Campos de políticas de acesso ao módulo
      Campo Descrição
      Nome da política Insira um nome para a política.
      Módulo de criptografia Clique no ícone de pesquisa (ícone de Pesquisa) para selecionar um módulo.
      Especificação de criptografia Selecione ou crie uma nova especificação criptográfica ao gerar a política de acesso ao módulo. Este campo se torna disponível quando a caixa de seleção Especificar finalidade é marcada.
      Operação granular Selecione a finalidade criptográfica na especificação criptográfica. Os valores disponíveis dependem do tipo de especificação criptográfica selecionada.

      Consulte para obter detalhes sobre finalidades de criptografia.
      Tipo
      • Escopo: controla o acesso pelo escopo da aplicação.
      • Usuário do sistema: permite que os usuários do sistema acessem os módulos de criptografia.
      • Script: controla o acesso por script. Consulte para obter mais informações
      • Função: controla o acesso por função do usuário.
      • Troca de recurso: controla o acesso usando Resource Exchange. Para obter mais informações, consulte .
      Nota:
      Somente o tipo Função é compatível com a Criptografia em nível de coluna Todos os outros tipos estão disponíveis com Criptografia em nível de coluna para empresas.
      Escopo de destino O campo está visível como um identificador do tipo Escopo. Refere-se à funcionalidade da política. Selecione as aplicações no menu de pesquisa.
      Nota:
      O escopo de destino não é compatível e só pode ser definido com Criptografia em nível de coluna para empresas
      Função de destino O campo está visível como um identificador do tipo Função. Função á qual essa política se aplica.
      Tabela de scripts

      Scripts de destino

      Esses campos aparecem quando você seleciona script como o tipo.

      O campo está visível como um identificador do tipo Script. Seleciona uma tabela à qual essa política se aplica. Documento ao qual essa política se aplica. Selecione o Nome da tabela e o documento relacionado à política.

      Na primeira vez que um script chama um módulo criptográfico, o acesso ao módulo é negado e o desenvolvedor recebe um erro. Isso concede ao proprietário do módulo a capacidade de conceder ou recusar acesso ao módulo.

      Troca de recursos:

      • Especificação de criptografia
      • Tipo de aprovação
      • Host de instância de destino

      Essas opções aparecem quando você seleciona como tipo.

      Resource Exchange é compatível com KMF e quando o módulo primário é column_level_encryption.

      Selecione a especificação de criptografia, Única ou Recorrente, e o URL da instância de destino. Para obter mais informações, consulte .
      Representação Nas políticas de acesso ao módulo baseadas em função, os usuários podem acessar dados criptografados usando uma sessão de representação. Quando usuários, como os administradores, representam outros usuários, essas políticas de acesso ao módulo habilitadas para representação são aplicadas.
      Especificação de finalidade Selecione para alternar o campo de especificação de criptografia como um campo disponível para a política.
      Ativo Selecione para ativar a política.
      Resultado Selecione uma das seguintes propriedades:
      • StrictReject rejeita o acesso em todas as circunstâncias.
      • Rejeitar rejeita os usuários com a Função de destino ou o Escopo de destino acessem este módulo de criptografia, a menos que outra política permita o acesso.
      • Rastrear para permitir o acesso e monitorar o uso do módulo.
    4. Selecione Enviar.
      Aviso:
      Para usuários de suporte a criptografia legada:
      Se estiver usando a versão não Enterprise de Criptografia em nível de coluna, há um limite de cinco módulos. Se você excedeu esse limite, o seguinte aviso será exibido:
      Esta inserção excede o limite de módulos publicados para o Criptografia em nível de coluna disponíveis com a assinatura do produto. A assinatura Enterprise para o Criptografia em nível de coluna é necessária para outros módulos. Entre em contato com sua equipe de conta.
    5. Seleção do nome da política associada ao módulo criptográfico que você deseja examinar.
      Usando a política de acesso ao módulo do tipo Script:

      Uma política de acesso ao módulo é gerada automaticamente com base na configuração de acesso padrão quando o script é executado. O nome do módulo é precedido por AutoGen-. Por exemplo, o módulo Module-TestPolicy está listado como AutoGen-Module-TestPolicy na coluna Nome da política.

      O formulário de Política de solicitante de criptografia lista a política de solicitante que você selecionou. O campo Escopo de destino especifica o escopo do script que está tentando usar o módulo. Consulte para obter informações adicionais.

      Nota:
      Com a Criptografia em nível de coluna, são permitidas no máximo cinco políticas de acesso ao módulo. Consulte para opções de configuração.