モジュールアクセスポリシーの概要
モジュールアクセスポリシーは、インスタンスレベルでの制御を定義するために暗号化モジュールに適用するアクセス制御です。
モジュールアクセスポリシー
モジュールアクセスポリシーは、ベースシステムの キー管理フレームワーク (KMF) で導入されます。
注:
列レベル暗号化エンタープライズ 機能を使用するには、サブスクリプションが必要です。列レベル暗号化エンタープライズの詳細については、「列レベル暗号化エンタープライズをアクティブ化する」を参照してください。
モジュールアクセスポリシーは、暗号化モジュールで提供されたロールベースの指定に対して展開されます。モジュールアクセスポリシーは、以下に基づきます。
- 基本 (スコープ)
- ロール
- システムユーザー
- スクリプト
- リソース交換 注:詳細については、「キー管理フレームワークリソース交換」を参照してください。
暗号化モジュールでは、正しいモジュールアクセスポリシーを設定して、暗号化データへのアクセス権を割り当てる必要があります。暗号化モジュールにモジュールアクセスポリシーが関連付けられていない場合、暗号化されたデータはユーザーに表示されず、リスト内の関連するフィールドと列は空になります。
この画像では、暗号化された [簡単な説明] フィールドにモジュールアクセスポリシーがないため、インシデントテーブルにアクセスするすべてのユーザーからコンテンツが非表示にされています。モジュールアクセスポリシーを適用すると、許可されたロールを持つユーザーに暗号化されたデータを表示できます。
注:
列のデータは、モジュールアクセスポリシーで指定された正しいロールを持たないユーザーにも空白で表示されます。
セットアップについては、「モジュールアクセスポリシーを作成する」を参照してください。
自動生成ポリシー
自動生成ポリシーは、指定された暗号化モジュールに定義されたデフォルトのモジュールアクセスポリシーに基づいて自動的にシステムで生成されます。これらは、システムまたはスクリプトが特定の暗号化モジュールにアクセスしようとしたときに詳細なレベルのポリシーが定義されていない場合に、生成および適用されるグローバルレベルのポリシーです。
重要:
自動生成ポリシールールは、スケジュール済みジョブのタイプ、またはフィールド暗号化モジュール (親モジュールが列レベル暗号化であるモジュール) には適用されません。