暗号化フィールド構成を作成

リリースバージョン: Australia

更新日 2026年04月01日

所要時間：3分

外部 Amazon Web Services Key Management System (AWS KMS) キーラッピングで外部キー管理サービス (EKMS) 暗号化モジュールを使用して暗号化する特定のフィールドを設定します。

始める前に

必要なロール:admin、security_admin、および sn_kmf.cryptographic_manager

外部キーラッピングを有効にして暗号化モジュールが作成されていることを確認します。外部キー定義の設定を参照してください。

このタスクについて

暗号化フィールド構成 (EFC) は、特定のテーブル列を EKMS 暗号化モジュールに接続します。EFC は、 ServiceNow データ暗号化キー (DEK) と外部 AWS キーの両方が利用可能な場合にのみデータを復号化できる安全な暗号化チェーンを作成します。

手順

移動先すべて > システムセキュリティ > フィールド暗号化 > 暗号化フィールドの設定 > 新規.

EFC フォームに入力します。


フィールド	説明
タイプ	テーブル列を暗号化する列、またはテーブルのすべての添付ファイルを暗号化する添付ファイル。暗号化されるデータのタイプは次のとおりです。文字列テキスト (完全な UTF-8) 添付ファイル日付、日付/時間：注: 暗号化フィールドの設定を作成して、既存の [日付] および [日付/時刻] フィールドを暗号化することができます。新しい暗号化構成は、親テーブルのみに追加できます。新しい暗号化構成は、子テーブルに追加できません。 URL HTML ジャーナル翻訳済み
テーブル	フィールドまたは添付ファイルを暗号化するテーブルを選択します。
列	タイプとして列を選択した場合は、暗号化する列 (フィールド)。
有効	構成をアクティブとしてマークする場合に選択します。構成がまだ使用されていない場合は選択を解除します。
アルゴリズム暗号化保存 [読み取り専用]	選択した暗号化モジュールが非決定的暗号化をサポートするように既に設定されているかどうかを示します。これは、同じデータが複数回暗号化されている場合、それぞれの暗号化が毎回異なることを意味します。
デフォルトで暗号化	定義された基準から外れているレコードが、デフォルトのフィールド暗号化モジュールによって暗号化されていることを確認するには、このオプションを選択します。このオプションを選択しない場合、条件ビルダーの基準から外れるレコードは暗号化されません。
暗号化モジュール	暗号化フィールド構成が適用される暗号化モジュール。注: 「外部ラップキー」フラグが有効になっている暗号化モジュールを選択していることを確認します。外部ラッピングなしでモジュールを使用すると、AWS KMS キーではなく ServiceNow の内部キーを使用してデータが暗号化されます。
メソッド	このアクセスポリシーを 1 つの暗号化モジュールに適用するには、単一モジュールを選択します。複数の暗号化モジュールにこのアクセスポリシーを適用するには、[複数のモジュール ] を選択します。単一モジュール単一モジュールを使用してすべての添付ファイルを暗号化するには、このオプションを使用します。ユーザーにはこのモジュールへのアクセス権が必要です。そうでないと添付ファイルをアップロードできません。複数モジュール添付ファイルのアップロード時にユーザーがモジュールを選択できるようにするには、このオプションを使用します。1 つ以上のモジュールへのアクセス権を持つユーザーは、暗号化に使用するモジュールを選択できます。モジュールへのアクセス権のないユーザーは、暗号化されていない添付ファイルをアップロードできます。

[送信] を選択します。

タスクの結果

EFC によって確立されたフィールドのデータは、AWS KMS キーでラップされたデータ暗号化キー (DEK) を使用して暗号化されます。

次のタスク

次のステップ：

警告:

モジュールアクセスポリシーが構成されていない場合、システム構成によっては、ユーザーが暗号化されたデータを表示できないか、アクセスが制限されない可能性があります。暗号化フィールド構成を作成した直後にアクセスポリシーを設定します。