Configurar políticas de acesso ao módulo para criptografia de campo

  • Versão de lançamento: Yokohama
  • Atualizado 31 de jan. de 2025
  • 4 min. de leitura

    • Crie uma política de acesso ao módulo para controlar quais usuários, scripts ou processos do sistema podem criptografar ou descriptografar dados criptografados por um módulo de criptografia de campo.

    Antes de Iniciar

    Função necessária: Administrador de KMF ou Gerenciador de Criptografia KMF, Administrador de Segurança

    Você deve ter um módulo de criptografia de campo publicado para usar este processo. Caso ainda não tenha feito isso, consulte Configurar Criptografia de campo módulos.

    Por Que e Quando Desempenhar Esta Tarefa

    As políticas de acesso ao módulo (MAPs) são os controles de acesso que você aplica aos módulos de criptografia de campo para definir quais usuários, scripts ou processos do sistema podem criptografar ou descriptografar dados. Configure MAPs para usuários (por meio de funções), scripts ou processos em execução no contexto do "sistema". Sem um MAP, usuários, scripts ou processos do sistema não podem criptografar ou descriptografar dados, o que pode fazer com que os processos de fluxo de trabalho de ponta a ponta não funcionem corretamente.

    Os MAPs são separados das ACLs (access control lists, listas de controle de acesso), mas podem ser usados em combinação com elas. Consulte Explorando Criptografia de campo para obter mais informações sobre a finalidade por trás dos MAPs.

    Para Criptografia de campo Enterprise, revise para planejar quais usuários, scripts ou processos do sistema precisam de um MAP.

    Procedimento

    1. Navegar até Tudo > Gestão de chave > Políticas de Acesso ao Módulo > Tudo.
    2. Selecione Novo.
    3. No formulário Política de acesso ao módulo, preencha os campos conforme necessário.
      Campo Descrição
      Nome da política Nome do seu MAP
      Módulo de criptografia Selecione o módulo de criptografia de campo a ser regido por este MAP.
      Especificações de criptografia Opcional. Selecione ou crie uma nova especificação criptográfica para este mapa.

      Este campo aparece somente quando o campo Especificar finalidade está habilitado.
      Tipo Decida quem ou o que deve ter acesso a este MAP para criptografar ou descriptografar dados.
      Escopo
      Qualquer coisa dentro do Escopo da aplicação especificado tem acesso a este MAP.
      Função
      Somente usuários com a função específica podem acessar este MAP.
      Script
      Certifique-se de que um script especificado possa acessar este MAP.
      Acesso ao Sistema
      Permite que processos em execução no "Contexto do sistema" acessem este MAP.
      Troca de recursos
      Permite que o recurso de troca de recursos acesse este mapa.

      Para obter mais informações sobre como esses diferentes tipos de MAP funcionam, consulte Explorando Criptografia de campo.
      Escopo de destino Selecione um escopo ao qual este MAP se aplica.

      Este campo aparecerá somente se o campo Tipo estiver definido como Escopo.
      Especificar finalidade Opcional. Habilite para exibir o campo Especificação de criptografia no formulário. Habilite esta opção para configurar operações granulares, como alguns usuários que podem criptografar, mas não descriptografar.
      Operação granular Opcional. Selecione a finalidade criptográfica da especificação de criptografia. Os valores disponíveis dependem do tipo de especificação de criptografia selecionada.

      Por exemplo, você pode especificar que este MAP só permite que os usuários criptografem, mas não descriptografem, ou o contrário, ou ambos.

      Este campo aparecerá somente se houver um valor no campo Especificação de criptografia.
      • Se um usuário tiver acesso para criptografar, mas não para descriptografar, o campo será exibido no modo de edição e os dados inseridos serão exibidos como asteriscos.
      • Se um usuário tiver acesso de descriptografia, mas não de criptografia, o campo exibirá os dados descriptografados no modo somente leitura.
      • Se um usuário tiver acesso para criptografar e descriptografar, as funcionalidades de leitura e gravação estarão disponíveis para o campo criptografado.
      Função de destino Selecione qual função deve ter acesso a este MAP.

      Este campo aparece somente quando o campo Tipo está definido como Função
      Tabela de Scripts Selecione o tipo de script que se aplica a este MAP:
      • Controle de Acesso
      • Designer de atividades
      • Regra de negócio
      • Ação de e-mail de entrada
      • Produtor de registro
      • Execução de script agendada
      • Inclusão de script
      • Ação de IU
      • Widget
      • Atividade do fluxo de trabalho

      Este campo aparecerá somente se o campo Tipo estiver definido como Script.
      Scripts de destino Escolha o script específico da tabela de tipos selecionada no campo Tabela de scripts que deve ter acesso a este MAP.

      Este campo aparecerá somente se o campo Tipo estiver definido como Script.

      Verificar versão do script Quando selecionado, o sistema verifica a versão do script que é executada com a versão especificada no campo Script de destino. Se as versões forem diferentes, o administrador será notificado.

      Este campo aparecerá somente se o campo Tipo estiver definido como Script.

      Tipo de Aprovação Selecione Uma vez ou Recorrente:
      Uma vez
      Permite que a chave de criptografia de dados simétrica no módulo de criptografia de campo associado seja compartilhada com segurança com a instância de destino uma vez.
      Recorrente
      Permite que a chave de criptografia de dados simétrica no módulo de criptografia de campo associado seja compartilhada com segurança com a instância de destino de forma recorrente.

      Este campo aparecerá somente se o campo Tipo estiver definido como Troca de recursos.

      Host de instância de destino Insira o URL da instância de destino para a qual a chave de criptografia de dados simétrica no módulo de criptografia de campo associado está sendo enviada.

      Este campo aparecerá somente se o campo Tipo estiver definido como Troca de recursos.

      Representação Quando habilitado, um usuário representando outro usuário obtém todas as permissões de MAP de ambos os usuários. Se desabilitado, um usuário representando outro usuário só terá as permissões MAP que foram concedidas a ele antes da representação.
      Ativo Habilite para ativar este MAP.
      Resultado Selecione uma das seguintes propriedades:
      Rastreamento
      Permite o acesso e monitora o uso do MAP.
      Rejeitar
      Rejeita o acesso, a menos que um MAP diferente conceda acesso.
      StrictReject
      Rejeita o acesso em todas as circunstâncias, mesmo se um MAP diferente conceder acesso.
    4. Selecione Enviar.