Depurador de política de acesso ao módulo

Segurança da plataforma Xanadu

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Segurança da plataforma Xanadu

ft:clusterId

psec

bundleId

psec

workflow

Platform

Depurador de política de acesso ao módulo

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

2 min. de leitura

Use o depurador de política de acesso ao módulo para revisar as informações de registro em log e entender por que seus usuários têm ou não acesso a um contexto criptografado.

As MAPs (políticas de acesso ao módulo) definem controles no nível da instância para acesso a módulos criptográficos. Os solicitantes (por exemplo, um usuário ou script) necessitam de acesso explícito para usarem um módulo criptográfico para criptografia e descriptografia. Nem sempre fica claro quais MAPs são avaliados quando os solicitantes tentam acessar um módulo criptográfico. Use o depurador para ver quais políticas são avaliadas quando um solicitante tenta acessar um módulo criptográfico e saiba a razão pela qual o acesso está sendo concedido ou não.

Este fluxograma mostra como sua instância avalia as solicitações de acesso a um módulo criptográfico.

Fluxograma mostrando como o acesso aos módulos criptográficos é avaliado

Como controlar o acesso aos logs de depuração

O acesso aos logs de depuração de acesso ao módulo é determinado pela sua função. Usuários com as funções sn_kmf.admin e sn_kmf.cryptographic_manager sempre têm acesso ao depurador. Conceda acesso a outras funções usando a propriedade glide.kmf.module_access_policies.debugger.authorized.roles do sistema. O valor desta propriedade é uma lista com funções, separadas por vírgulas, que acessam os logs de depuração.

Como habilitar ou desabilitar o depurador

Para habilitar mensagens de registro em log de depuração para políticas de acesso ao módulo, navegue até Todos > Diagnósticos > Depuração de sessão > Políticas de acesso ao módulo de depuração > .

Quando terminar de depurar, você poderá desabilitar as mensagens de registro em log navegando até Todos > Diagnósticos > Depuração de sessão > Desabilitar Tudo > .

Como acessar of logs

Depois de habilitar a depuração, navegue até uma página que aciona uma avaliação de MAP para exibir os logs de depuração de MAP. As mensagens de depuração aparecem na parte inferior da página.

Dica:

Você pode usar a representação para solucionar problemas de acesso de outros usuários. Para obter mais detalhes sobre a representação, consulte Impersonating users. Para exibir os logs de depuração a partir da perspectiva de outro usuário, certifique-se de que suas políticas de acesso ao módulo com o tipo role tenham o campo Representação definido como true (verdadeiro).

Neste exemplo, um solicitante faz duas solicitações de acesso ao módulo criptográfico global.fuji. Uma criptografia simétrica que é concedida, e uma descriptografia simétrica que foi negada.

Noções básicas sobre entradas no log

As informações de depuração são estruturadas da seguinte forma.

Esta primeira linha exibe o módulo criptográfico que está recebendo a solicitação de acesso.
As linhas entre a primeira e a última linha exibem os MAPs na ordem em que foram avaliados e incluem nome, tipo, meta, operação granular e resultado.
A última linha exibe a Policy Decision (decisão de diretrizes) (se aplicável) e o resultado do acesso à rede para o solicitante (se o solicitante foi concedido acesso).

Cada linha começa com um ícone que indica seu tipo de mensagem.

Tabela 1. Ícones de mensagens
Ícone	Tipo de mensagem
	Mensagem informativa
	A política de acesso ao módulo concede acesso
	A política de acesso ao módulo nega acesso
	O solicitante tem acesso concedido
	O solicitante tem acesso negado
	Sem política de acesso ao módulo para avaliação

Exemplos de logs de depuração

Mensagem de acesso concedido
Mensagem de acesso negado
Acesso negado (Sem política de acesso ao módulo para avaliação
Acesso negado (falta de permissão)