Créer une politique d’accès au module

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Créez des politiques d’accès au module pour déterminer quels utilisateurs et quels scripts peuvent accéder aux données chiffrées par un module cryptographique.

    Avant de commencer

    Rôle requis : sn_kmf.cryptographic_manager ou sn_kmf.admin

    Pourquoi et quand exécuter cette tâche

    Chiffrement de champ prend en charge les politiques d’accès aux modules basées sur les rôles et des options de configuration supplémentaires deviennent disponibles avec la fonctionnalité (CLE_Ent).
    • Configurez l’opération cryptographique spécifique dans les stratégies d’accès au module pour les modules cryptographiques qui prennent en charge les opérations symétriques. Par exemple, un utilisateur peut être autorisé à chiffrer des données, mais pas à les déchiffrer.
    • Définissez une valeur de politique d’accès au module par défaut ou en fonction d’un module cryptographique.
    • Associez les versions de script où les changements apportés au script sont suivis et invalidez la politique de script, offrant une meilleure sécurité pour les politiques d’accès aux modules de type script.
    CLE_Ent La fonctionnalité est disponible avec un abonnement payant. Consultez la rubrique pour connaître les fonctionnalités prises en charge et les options disponibles avec chaque offre. Pour plus d'informations, consultez Chiffrement de champ Enterprise.
    Remarque :
    Le comportement par défaut des politiques d’accès au module (MAP) est Rejeter pour empêcher tout accès non autorisé, sauf déclaration explicite dans les enregistrements MAP.

    Procédure

    1. Accédez à la Tous > Gestion des clés > Politiques d’accès au module > Tous.
      Si vous ne créez pas un module de chiffrement configuré pour le chiffrement/déchiffrement de données symétriques, une politique d’accès au module générée automatiquement est créée et répertoriée dans la table.
    2. Sélectionnez Nouveau.
      • Sélectionnez Spécifier l’objectif pour choisir une spécification de chiffrement et définir l’opération granulaire.Lorsque vous cochez la case Spécifier l’objectif, les champs de spécification cryptographique sont disponibles.
      • Avec les spécifications cryptographiques pour le chiffrement/déchiffrement symétrique des données et l’encapsulation/désencapsulation symétrique, le champ Opération granulaire est disponible si vous cochez la case Spécifier l’objectif .

        Liste d’opérations granulaires.

    3. Renseignez le formulaire.
      Champs de politiques d’accès au module
      Champ Description
      Nom de la politique Saisissez un nom pour la politique.
      Module de chiffrement Sélectionnez l’icône de recherche ( icône de recherche.) pour sélectionner un module.
      Spécification du chiffrement Sélectionnez ou créez une spécification cryptographique lors de la génération de la politique d’accès au module. Ce champ devient disponible lorsque la case Spécifier l’objectif est cochée.
      Opération granulaire Sélectionnez l’objectif cryptographique de la spécification cryptographique. Les valeurs disponibles dépendent du type de spécification cryptographique sélectionné.

      Voir pour plus de détails sur les objectifs cryptographiques.
      Type
      • Périmètre : contrôle l’accès par périmètre de l’application.
      • Utilisateur système : autorise les utilisateurs système à accéder aux modules de chiffrement.
      • Script : contrôler l’accès par script. Voir pour plus d’informations
      • Rôle : contrôle l’accès par rôle d’utilisateur.
      • Échange de ressources : contrôlez l’accès à l’aide du Resource Exchange fichier . Consultez la section pour plus d’informations.
      Remarque :
      Seul le type de rôle est pris en charge avec Chiffrement de champ. Tous les autres types sont disponibles avec Chiffrement de champ Enterprise.
      Périmètre cible Le champ est visible en tant qu’identificateur pour le type de champ d’application . Fait référence à la fonctionnalité de la politique. Sélectionnez les applications dans le menu de recherche.
      Remarque :
      Le champ d’application cible n’est pas pris en charge et ne peut être défini qu’avec Chiffrement de champ Enterprise
      Rôle cible Le champ est visible en tant qu’identificateur pour le type de rôle . Rôle auquel cette politique s’applique.
      Table de scripts

      Script cible

      Ces champs s’affichent lorsque vous sélectionnez Script comme type.

      Le champ est visible en tant qu’identificateur pour le type de script . Sélectionnez une table à laquelle cette politique s’applique. Document auquel cette politique s’applique. Sélectionnez le nom de table, puis le document connexe pour la politique.

      La première fois qu’un script appelle un module cryptographique, l’accès au module est refusé et le développeur reçoit une erreur. Cette erreur donne au propriétaire du module la possibilité d’accorder ou de refuser l’accès au module.

      Échange de ressources :

      • Spécification du chiffrement
      • Type d'approbation
      • Hôte de l’instance cible

      Ces options s’affichent lorsque vous sélectionnez le type.

      Resource Exchange est pris en charge à la fois par KMF et par lorsque le module parent est column_level_encryption.

      Sélectionnez la spécification de chiffrement, Unique ou Récurrent, et l’URL de l’instance cible. Consultez la section pour plus d’informations.
      Emprunt d'identité Dans les stratégies d’accès au module basées sur les rôles, les utilisateurs peuvent accéder aux données chiffrées à l’aide d’une session d’emprunt d’identité. Lorsque des utilisateurs, tels que des administrateurs, empruntent l’identité d’autres utilisateurs, ces politiques d’accès au module activées pour l’emprunt d’identité sont appliquées.
      Spécifier l’objectif Sélectionnez cette option pour définir le champ Spécification cryptographique comme champ disponible pour la politique.
      Actives Sélectionnez cette option pour activer la politique.
      Résultat Sélectionnez l'une des options suivantes :
      • StrictReject rejette l’accès en toutes circonstances.
      • Rejeter empêche les utilisateurs ayant le rôle cible ou le périmètre cible d’accéder à ce module cryptographique, sauf si une autre politique leur accorde l’accès.
      • Suivi pour autoriser l’accès et surveiller l’utilisation du module.
    4. Sélectionnez Envoyer.
      Avertissement :
      Pour les utilisateurs de la prise en charge du chiffrement hérité :
      Si vous utilisez la version non entreprise de Chiffrement de champ, vous êtes limité à cinq modules. Si vous avez dépassé cette limite, vous recevez l’avertissement suivant :
      Cette insertion dépasse le nombre de modules publiés autorisés avec Chiffrement de champ le produit d’abonnement. L’abonnement Entreprise pour Chiffrement de champ est nécessaire pour les modules supplémentaires. Veuillez contacter l’équipe de votre compte.
    5. Sélectionnez le nom de la politique associée au module de chiffrement que vous souhaitez examiner.
      Utilisation de la politique d’accès au module de type de script :

      Une politique d’accès au module est générée automatiquement en fonction du paramètre d’accès par défaut lors de l’exécution du script. Le nom du module est précédé de AutoGen-. Par exemple, le module Module-TestPolicy est répertorié sous le nom AutoGen-Module-TestPolicy dans la colonne Nom de la politique.

      Le formulaire de politique d’appelant cryptographique répertorie la politique d’appelant que vous avez sélectionnée. Le champ Périmètre cible spécifie le périmètre du script qui tente d’utiliser le module. Pour plus d’informations, consultez la section .

      Remarque :
      Un maximum de cinq politiques d’accès au module est autorisé avec Chiffrement de champ. Consultez la section pour les options de configuration.