キー管理フレームワークキー交換
KMF 鍵交換 は KMF リソース交換 のサブセット関数です。鍵交換 は複数のインスタンス間で暗号化されたデータを安全に転送します。
鍵交換 の概要
鍵交換 はインスタンス間でキーを安全に転送します。
KMF 鍵交換 は、顧客がインスタンス間で KMF キーを交換するための安全な方法を提供します。アプリケーションのユースケースの 1 つにデータクローンプロセスがあります。鍵交換を使用すると、KMF コンポーネントのデータクローン中に暗号化モジュールキーがコピーされます。暗号化モジュール、モジュールキー仕様、およびモジュールアクセスポリシーはクローンプロセスに含まれます。キーの転送は含まれません。
この機能は、ServiceNow Platform Encryption サブスクリプションバンドルに含まれる キー管理フレームワーク に含まれています。この製品の詳細については、 キー管理フレームワークを参照してください。
鍵交換 の使用
フィールド暗号化にKMFを使用するアドミニストレーターは、データのクローン作成を実行するときに、鍵交換を使用して本番インスタンス間でキーをクローンできます。データのクローン作成では、アドミニストレーター/ KMF 暗号化マネージャーは次のことを実行できます。
- すべてのキーを他のインスタンスに交換する。
- 特定のキーを 1 回または定期的に他のインスタンスと交換する。
- ターゲットインスタンスからキーソースインスタンスにオンデマンド要求を送信する。
- 暗号テキストをリキーするためにソースからターゲットにキーを交換する。
- 要求の有効期限を管理し、要求が期限切れになった場合は、キーを削除するか、鍵交換要求を却下します。
- 要求が完了してキーがインポートされると、使用したキーは期限切れになり、タイムスタンプが付与されます。
- ソースのキーで暗号化されたターゲットインスタンスで暗号テキストをリキーします。
サポートされているモード
鍵交換は、暗号化モジュールの暗号化仕様レベルでいくつかのモードをサポートしています。
| モード | 説明 |
|---|---|
| 自動 (設定なし、デフォルトの動作) | すべてのキーは、追加の設定なしに、データクローンプロセス中に自動的に送信されます。 |
| 設定可能 (1 回限りの設定セットアップ) | アドミニストレーターは、データクローンプロセス中に送信されるキーを設定します。 |
| 手動 (ループ内のユーザー) | アドミニストレーターは、ターゲットインスタンスのオンデマンド要求をソースに送信します。キーソースインスタンスでアドミニストレーターが要求を承認する必要があります。 |
| リキー (自動要求) | アドミニストレーターは、クローンセットアッププロセス中にリキーのオプションを選択します。 |