7 Opérations de l'opérateur

Ce chapitre présente les opérations que peut effectuer un utilisateur ayant le rôle Opérateur. Si plusieurs rôles vous ont été attribués, reportez-vous au chapitre correspondant pour obtenir des instructions sur ce rôle.

Rôle Opérateur

En tant qu'opérateur, vous êtes responsable de la gestion des opérations quotidiennes du système.

Menu Key Groups (Groupes de clés)

Le menu Key Groups (Groupes de clés) vous offre les possibilités suivantes :

• Afficher une liste des groupes de clés

• Afficher les affectations d'agents à des groupes de clés

• Afficher les affectations de partenaires de transfert à des groupes de clés.

Key Group List (Liste des groupes de clés)

L'option de menu Key Group List (Liste des groupes de clés) vous permet de gérer votre groupe de clés. Pour les procédures, reportez-vous à la section "Menu Key Group List (Liste des groupes de clés)".

Agent Assignment to Key Groups (Affectation d'agents à des groupes de clés)

L'option de menu Agent Assignment to Key Groups (Affectation d'agents à des groupes de clés) vous permet d'afficher les affectations d'agents à des groupes de clés. Pour les procédures, reportez-vous à la section "Menu Agent Assignment to Key Groups (Affectation d'agents à des groupes de clés)".

Transfer Partner Assignment to Key Groups (Affectation de partenaires de transfert à des groupes de clés)

L'option Transfer Partner Assignment to Key Groups (Affectation de partenaires de transfert à des groupes de clés) vous permet d'afficher un partenaire de transfert de clés de l'ensemble des partenaires de transfert de clés qui sont autorisés à accéder à un groupe de clés spécifique. Pour les procédures, reportez-vous à la section "Menu Transfer Partner Assignment to Key Groups (Affectation de partenaires de transfert à des groupes de clés)".

Menu Agent List (Liste des agents)

L'option de menu Agent List (Liste des agents) vous permet d'effectuer les opérations suivantes :

• Afficher les agents

• Créer des agents

• Afficher/Modifier un agent

• Supprimer des agents existants.

Affichage de la liste des agents

L'option de menu Agent List (Liste des agents) vous permet d'afficher tous les agents associés à un groupe de clés spécifiques.

Pour afficher cet écran :

1. Dans le menu Agents, sélectionnez Agent List (Liste des agents). L'écran Agent List (Liste des agents) s'affiche.

2. Cliquez sur la flèche vers le bas en regard du champ Key Group (Groupe de clés) et sélectionnez un groupe de clés. Les agents associés au groupe de clés s'affichent.

Vous pouvez également faire défiler les listes et filtrer les listes d'agents selon l'un des critères suivants :

• Agent ID (ID d'agent)

• Description

• Site

• Default Key Group (Groupe de clés par défaut)

• Enabled (Activé)

• Failed Login Attempts (Tentatives de connexion ayant échoué)

• Enrolled (Inscrit)

• One Time Passphrase (Phrase de passe à usage unique).

Le bouton Use (Utiliser) applique le filtre à la liste affichée de l'agent.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• Agent ID (ID d'agent)

• Description

• Site

• Default Key Group (Groupe de clés par défaut)

• Enabled (Activé)

• Failed Login Attempts (Tentatives de connexion ayant échoué)

• Enrolled (Inscrit).

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide.

Zone de texte Filter Value (Valeur de filtre) :

Saisissez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Boîte combinée Filter Value (Valeur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Cliquez sur le bouton plus (+) pour ajouter des filtres.

Cliquez sur le bouton moins (-) pour supprimer un filtre. Ce bouton apparaît uniquement si plusieurs filtres sont affichés.

Use (Utiliser) :

Ce bouton permet d'appliquer les filtres sélectionnés à la liste affichée et d'accéder à la première page.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

Agent ID (ID d'agent)

Affiche l'identifiant unique spécifié par l'utilisateur qui identifie chaque agent.

Description

Décrit l'agent.

Site

Affiche un identifiant unique qui indique le site auquel l'agent appartient.

Default Key Group (Groupe de clés par défaut)

Groupe de clés associé à toutes les clés créées par cet agent si l'agent ne spécifie pas explicitement un autre groupe de clés.

Enabled (Activé)

Indique le statut de l'agent. Les valeurs possibles sont True (Vrai) ou False (Faux). Si ce champ est défini sur False (Faux), l'agent ne peut pas établir de session avec le KMA.

Failed Login Attempts (Tentatives de connexion ayant échoué)

Affiche le nombre d'échecs d'une tentative de connexion.

Enrolled (Inscrit)

Indique si l'agent s'est inscrit sur le cluster OKM. Les valeurs possibles sont True (Vrai) ou False (Faux). Ce champ est défini sur False (Faux) si l'agent est le premier créé ou si la phrase de passe de l'agent est modifiée.

Création d'un agent

Pour créer un agent :

1. Dans l'écran Agents List (Liste des agents), cliquez sur le bouton Create (Créer). La boîte de dialogue Create Agent (Créer un agent) apparaît avec l'onglet General (Général) ouvert.

   
   

2. Définissez les paramètres suivants :

   Agent ID (ID d'agent)

   Entrez une valeur qui identifie l'agent de manière unique. Cette valeur peut comporter entre 1 et 64 caractères.

   Description

   Entrez une valeur qui décrit l'agent. Cette valeur peut comporter entre 1 et 64 caractères.

   Site ID (ID du site)

   Cliquez sur la flèche vers le bas et sélectionnez le site auquel l'agent appartient. Ce champ est facultatif.

   Flags (Indicateurs)

   Sélectionnez One Time Passphrase (Phrase de passe à usage unique) de sorte que l'agent ne puisse pas récupérer son certificat X.509 sans réinitialiser sa phrase de passe et se réinscrire avec son ID d'agent et sa nouvelle phrase de passe. Il s'agit de la valeur par défaut.

   Si vous ne sélectionnez pas One Time Passphrase (Phrase de passe à usage unique), l'agent peut récupérer son certificat X.509 à tout moment, utiliser les services de certificat et de CA et s'authentifier à l'aide de son ID d'agent et de sa phrase de passe.

   Les agents de lecteur de bande doivent spécifier la valeur par défaut. Les agents de type PKCS#11 trouveront ce paramètre plus pratique, en particulier dans les configurations en cluster dans lesquelles les utilisateurs peuvent s'authentifier auprès de l'OKM à partir de plusieurs noeuds.

   Default Key Group ID (ID de groupe de clés par défaut)

   Si vous disposez également des privilèges d'agent de conformité, cliquez sur la flèche vers le bas et sélectionnez le groupe de clés par défaut.

3. Ouvrez l'onglet Passphrase (Phrase de passe).

   
   

4. Définissez les paramètres suivants :

   Passphrase (Phrase de passe)

   Saisissez la phrase de passe de cet utilisateur. La valeur minimale comporte 8 caractères ; la valeur maximale comporte 64 caractères. La valeur par défaut est 8.

   Conditions requises pour la phrase de passe :

   • Une phrase de passe ne doit pas contenir l'ID d'agent de l'utilisateur.

   • Une phrase de passe doit contenir trois des quatre classes de caractères : minuscules, majuscules, chiffres ou caractères spéciaux.

   • Les caractères spéciaux suivants sont autorisés :

     ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?

   • Les caractères de contrôle, notamment les tabulations et les sauts de ligne, ne sont pas autorisés.

   Remarque:

   Pour modifier la condition de longueur minimale des phrases de passe, reportez-vous à la section "Modification des paramètres de sécurité".

   Confirm Passphrase (Confirmer la phrase de passe)

   Entrez la même valeur que celle saisie dans le champ Enter Passphrase (Entrer une phrase de passe).

   Un exemple de boîte de dialogue Create Agent (Créer un agent) renseignée est affiché ci-dessous.

   
   

5. Cliquez sur le bouton Save (Enregistrer). L'enregistrement de l'agent est ajouté à la base de données et affiché dans l'écran Agent List (Liste des agents).

6. Effectuez la procédure d'inscription spécifique à l'agent à l'aide de l'interface spécifique à l'agent. Par exemple, pour les lecteurs StorageTek, VOP (Virtual Operator Panel) doit être utilisé pour effectuer la procédure d'inscription.

   
   

Affichage/Modification d'un agent

Pour modifier les détails d'un agent :

1. Dans l'écran Agents List (Liste des agents), cliquez deux fois sur une entrée d'agent pour laquelle vous souhaitez davantage d'informations ou sélectionnez une entrée d'agent et cliquez sur le bouton Details (Détails). La boîte de dialogue Agents Details (Détails de l'agent) apparaît.

   
   

2. Ouvrez l'onglet General (Général) et modifiez les champs suivants, selon vos besoins :

   • Description

   • Site ID (ID du site)

   • Flags (Indicateurs)

     • Enabled (Activé) - Cochez cette case si vous souhaitez autoriser l'agent à communiquer avec le cluster.

     • Enrolled (Inscrit) - Indique si l'agent s'est inscrit sur le cluster. Ce champ est en lecture seule.

     • One Time Passphrase (Phrase de passe à usage unique) - Cochez cette case de sorte que l'agent ne puisse pas récupérer son certificat X.509 sans réinitialiser sa phrase de passe et se réinscrire avec son ID d'agent et sa nouvelle phrase de passe. Il s'agit de la valeur par défaut.

   • Si vous ne sélectionnez pas One Time Passphrase (Phrase de passe à usage unique), l'agent peut récupérer son certificat X.509 à tout moment, utiliser les services de certificat et de CA et s'authentifier à l'aide de son ID d'agent et de sa phrase de passe.

   • Les agents de lecteur de bande doivent spécifier la valeur par défaut. Les agents de type PKCS#11 trouvent ce paramètre plus pratique, en particulier dans les configurations en cluster dans lesquelles les utilisateurs peuvent s'authentifier auprès de l'OKM à partir de plusieurs noeuds.

   • Default Key Group ID (ID de groupe de clés par défaut) - Si vous disposez également des privilèges d'agent de conformité, cliquez sur la flèche vers le bas et sélectionnez le groupe de clés par défaut.

3. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer). Les modifications sont apportées à la base de données du gestionnaire OKM et vous êtes redirigé vers l'écran Agents List (Liste des agents).

   Remarque:

   Vous devez uniquement modifier la phrase de passe de l’agent si vous pensez qu'elle a été compromise. Pour les procédures, reportez-vous à la section "Définition de la phrase de passe d’un agent".

Définition de la phrase de passe d’un agent

Lorsque vous définissez la phrase de passe d'un agent, vous révoquez efficacement le certificat de l'agent qui lui permet de s'authentifier auprès du KMA. En tant qu'opérateur, vous pouvez vouloir définir le certificat de phrase de passe d'un agent si vous pensez que le certificat et/ou la phrase de passe de l'agent a été compromis.

Pour définir la phrase de passe d'un agent :

1. Dans l'écran Agents List (Liste des agents), cliquez deux fois sur l'entrée de l'agent dont vous souhaitez définir la phrase de passe ou sélectionnez l'agent et cliquez sur le bouton Details (Détails). La boîte de dialogue Agents Details (Détails de l'agent) apparaît. Ouvrez l'onglet Passphrase (Phrase de passe).

   
   

2. Modifiez les champs suivants et cliquez sur le bouton Save (Enregistrer) :

   • Enter Passphrase (Saisir une phrase de passe)

   • Confirm Passphrase (Confirmer la phrase de passe)

3. Les modifications sont apportées à la base de données et vous êtes redirigé vers l'écran Agents List (Liste des agents).

4. Réinscrivez l'agent à l'aide de la procédure spécifique à l'agent. Par exemple, pour les lecteurs de bande StorageTek, VOP (Virtual Operator Panel) doit être utilisé pour réinscrire l'agent au cluster OKM. Après avoir modifié la phrase de passe d'un agent, l'agent ne peut pas adresser de demande au cluster OKM avant d'être réinscrit.

Suppression des agents

Pour supprimer un agent :

1. Dans l'écran Agents List (Liste des agents), sélectionnez l'agent que vous souhaitez supprimer. La boîte de dialogue suivante s'affiche, vous invitant à confirmer que vous souhaitez supprimer l'agent sélectionné.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer l'agent. L'agent est supprimé de la base de données et vous êtes redirigé vers l'écran Agents List (Liste des agents), dans lequel l'agent supprimé n'est plus répertorié.

Menu Key Group Assignment to Agents (Affectation de groupes de clés à des agents)

L'option de menu Key Group Assignment to Agents (Affectation de groupes de clés à des agents) vous permet d'afficher les groupes de clés assignés à des agents. Pour les procédures, reportez-vous à la section "Menu Key Group Assignment to Agents (Affectation de groupes de clés à des agents)".

Menu Agent Performance List (Liste de performances des agents)

Cette option de menu vous permet de demander des informations sur les performances des agents.

Ce panneau affiche les informations de performance à propos des demandes de création de clé, de récupération de clé et d'enregistrement de clé qui ont été envoyées par chaque agent. Ces informations inclut les valeurs de taux ou de compte et les temps de traitement. Les demandes d'importation de clé ne sont pas incluses dans ces valeurs.

Remarque:

Les lecteurs de bande LTO HP et IBM n'émettent pas de demande de création de clés. Ils émettent des demandes de récupération de clé à la place.

Les valeurs de taux représentent le taux auquel cet agent a émis ces demandes au cours de la période sélectionnée. Elles sont exprimées en tant que taux moyen de ces demandes extrapolé selon l'unité de temps de l'intervalle d'affichage de taux sélectionné (par exemple, nombre moyen extrapolé de demandes de création de clés par jour). Si vous définissez l'intervalle d'affichage de taux sur "entire time period" (période entière), ce panneau affiche le nombre de demandes émises par l'agent au cours de la période sélectionnée.

Les temps de traitement représentent le temps moyen en millisecondes nécessaire pour le traitement des demandes émises par l'agent au cours de la période sélectionnée. Ces temps de traitement sont du point de vue du KMA et décrivent le temps nécessaire au traitement interne des demandes Ils n'incluent pas le temps de transmission par le biais du réseau ou le temps nécessaire à l'établissement d'une connexion SSL.

Le cluster OKM doit utiliser la version 15 de Replication ou une version ultérieure avant que les temps de traitement des demandes ne soient disponibles.

Pour demander les performances des agents :

1. Dans le menu Agents, sélectionnez Agent Performance List (Liste de performances des agents).

   
   

2. Pour afficher davantage d'informations sur un agent, sélectionnez un agent et cliquez sur le bouton Details (Détails) (ou cliquez deux fois sur un agent). La boîte de dialogue Agents Performance Details (Détails des performances de l'agent) apparaît.

   
   

Menu Import Keys (Importer des clés)

Cette option de menu importe les clés et les unités de données dans un cluster OKM. Les informations sur les clés et les unités de données sont contenues dans un fichier de transfert de clés reçu depuis un partenaire de transfert de clés.

Remarque:

Cet écran permet de télécharger et d'importer des clés dans le cluster OKM. Ces clés sont exportées à partir d'un autre cluster OKM.

Pour importer des clés :

1. Dans le menu Transfer Partners (Partenaires de transfert), sélectionnez Import Keys (Importer des clés). L'écran Import Keys (Importer des clés) s'affiche.

   
   

2. Définissez les paramètres suivants :

   Destination Key Group (Groupe de clés de destination) :

   Sélectionnez le groupe de clés de destination dans lequel ces clés seront importées.

   L'indicateur "Allow Imports" (Autoriser les importations) de la stratégie de clés de ce groupe de clés doit être sélectionné. Ce groupe de clés doit être un groupe de clés autorisé pour le partenaire de transfert expéditeur sélectionné.

   Sending Transfer Partner (Partenaire de transfert expéditeur) :

   Sélectionnez le partenaire de transfert expéditeur qui a exporté ces clés.

   Key Transfer File (Fichier de transfert de clés) :

   Entrez le nom du fichier de transfert de clés. Vous pouvez également cliquer sur le bouton Browse (Parcourir) pour sélectionner un chemin de destination.

3. Cliquez sur le bouton Start (Démarrer) pour lancer le processus de téléchargement et d'importation de clés. Des messages indiquent lorsque le fichier est chargé et appliqué.

Unités de données

Les unités de données sont des périphériques de stockage logique, tels que des disques, des bandes ou des objets. Les unités de données sont sécurisées par des stratégies de clés valides qui sont associées à leurs groupes de clés. L'agent doit avoir accès à l'unité de données sélectionné.

Remarque:

Un opérateur peut exécuter toutes les fonctions, sauf modifier un groupe de clés d'une unité de données. Seul un agent de conformité peut modifier un groupe de clés d'une unité de données.

Menu Data Unit List (Liste des unités de données)

Le menu Data Unit List (Liste des unités de données) vous permet d'effectuer les opérations suivantes :

• Afficher les unités de données

• Afficher/Modifier les détails des unités de données

• Afficher l'historique des activités d'une unité de données

• Détruire les clés post-opérationnelles d'une unité de données

• Afficher les nombres de clés.

Affichage des unités de données

Pour afficher les unités de données, dans le menu Data Units (Unités de données), sélectionnez Data Unit List (Liste des unités de données). L'écran Data Unit List (Liste des unités de données) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer la liste des unités de données selon l'un des critères suivants :

• Data Unit ID (ID d'unité de données)

• External Unique ID (ID unique externe)

• Description

• External Tag (Balise externe)

• Created Date (Date de création)

• Exported (Exporté)

• Imported (Importé)

• State (Etat).

Le bouton Use (Utiliser) applique le filtre à la liste affichée de l'unité de données.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• Data Unit ID (ID d'unité de données)

• External Unique ID (ID unique externe)

• Description

• External Tag (Balise externe)

• Created Date (Date de création)

• Imported (Importé)

• Exported (Exporté)

• State (Etat).

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide.

Show Data Units in Any Key Group (Afficher les unités de données dans n'importe quel groupe de clés). Use (Utiliser) :

Ce bouton permet d'appliquer le filtre à la liste affichée.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

Data Unit ID (ID d'unité de données)

Affiche un identifiant unique généré par le système qui identifie chaque unité de données.

External Unique ID (ID unique externe)

Affiche un identificateur unique externe pour l'unité de données.

Cette valeur est envoyée à l'OKM par l'agent et peut ne pas être visible extérieurement par un utilisateur final. Pour les bandes LTO Gen 4 et Gen 5, il s'agit du numéro de série gravé sur la cartouche lors de sa fabrication. Ne confondez pas cette valeur avec un volser sur un code-barres optique ou sur une étiquette de bande ANSI. Cette valeur n'est pas utilisée pour les lecteurs de bande StorageTek.

Description

Décrit l'unité de données.

External Tag (Balise externe)

Décrit une balise externe unique pour cette unité de données.

Pour les bandes qui se trouvent dans une bibliothèque de bandes StorageTek, ou les bandes avec des étiquettes standard ANSI, ce champ correspond au volser. Si la bande se trouve dans une bibliothèque et dispose d'une étiquette ANSI, le volser de la bibliothèque (c'est-à-dire le code-barres optique) est utilisé s'il est différent de celui sur l'étiquette ANSI. Pour les bandes écrites dans des lecteurs autonomes sans étiquettes ANSI, ce champ est vide.

Remarque:

Pour les unités de données écrites par des lecteurs de bande LTO Gen 4 et Gen 5, ce champ est complété sur la droite avec des espaces pour remplir 32 caractères. Il peut s'avérer plus pratique d'utiliser l'opérateur de filtre "Commence par ~" au lieu de l'opérateur de filtre "Egal à =", pour ne pas avoir à ajouter les espaces pour remplir la balise externe. Par exemple, si vous utilisez le filtre "Commence par", vous pouvez saisir : "External Tag" ~ "ABCDEF". Si vous utilisez le filtre "Egal à" pour le même exemple, vous devez saisir : "External Tag" = "ABCDEF" (complété pour remplir 32 caractères)

Created Date (Date de création)

Indique la date et l'heure de création/enregistrement de l'unité de données.

Exported (Exporté)

Indique si les clés associées à cette unité de données ont été exportées.

Imported (Importé)

Indique si les clés associées à cette unité de données ont été importées.

State (Etat)

Indique l'état de l'unité de données. Valeurs possibles :

• No Key (Aucune clé) : indique que l'unité de données a été créée mais n'a pas encore de clé créée.

• Readable (Lisible) : indique si l'unité de données dispose de clés qui permettent au moins à certaines parties de l'unité de données d'être déchiffrées (lues).

• Normal : indique si l'unité de données dispose de clés qui permettent au moins à certaines parties de l'unité de données d'être déchiffrées (lues). De plus, l'unité de données dispose d'au moins une clé d'état "protéger et traiter" qui permet de chiffrer les données. L'unité de données est ainsi accessible en écriture.

• Needs Re-key (Resaisie de clé nécessaire) : indique si l'unité de données ne dispose pas d'au moins une clé d'état "protéger et traiter". Les données ne doivent pas être chiffrées et écrites sur cette unité de données tant qu'elle n'a pas bénéficié d'une nouvelle saisie de clé et qu'une nouvelle clé active ne lui a pas été assignée. L'agent est responsable d'éviter l'utilisation d'une clé qui n'est pas à l'état "protéger et traiter" pour le chiffrement. L'unité de données peut avoir des clés qui sont à l'état "traitement uniquement", "désactivée" ou "compromise". Une clé dans un de ces états peut être utilisée pour le déchiffrement.

• Shredded (Détruite) : indique que toutes les clés de cette unité de données ont été détruites. Les unités de données ne peuvent pas être lues ou écrites. Toutefois, une nouvelle clé peut être créée pour cette unité de données, ce qui redéfinit sont état sur Normal.

Affichage/Modification des détails des unités de données

Remarque:

Si vous n'êtes pas un opérateur, lorsque vous consultez les informations détaillées d’une unité de données, tous les champs, y compris le bouton Save (Enregistrer), sont désactivés. Si vous êtes un agent de conformité, le champ Key Group (Groupe de clés) est activé. Dans l'onglet Key List (Liste des clés), le bouton Compromise (Compromettre) est activé si vous êtes un agent de conformité ; sinon, il est désactivé.

Pour modifier les informations d'une unité de données :

1. Dans l'écran Data Unit List (Liste des unités de données), sélectionnez l'unité de données que vous souhaitez modifier et cliquez sur le bouton Details (Détails). La boîte de dialogue Data Unit Details (Détails de l'unité de données) apparaît.

   
   

2. Vous pouvez modifier les paramètres suivants :

   Description

   Entrez une nouvelle valeur. L'information d'origine est fournie par le Software Encryption Driver (Pilote de chiffrement de logiciel) lors de l'enregistrement. Cette valeur peut comporter entre 1 et 64 caractères ou espaces.

   Important – Si le champ Description contient la chaîne ”PKCS#11v2.20,” cela représente une clé spéciale utilisée pour Oracle Database Transparent Data Encryption (TDE). Ne modifiez pas ce champ. Cela pourrait altérer la manière dont OKM interagit avec TDE.

   External Tag (Balise externe)

   Entrez un identifiant externe unique pour l'unité de données. Cette valeur peut comporter entre 1 et 64 caractères ou espaces. Ce champ contient généralement l'étiquette ou le code-barres de la cartouche de bande.

3. Cliquez sur le bouton Save (Enregistrer) pour enregistrer les modifications apportées.

Les champs suivants ne sont pas modifiables :

General Tab (Onglet Général)

Data Unit ID (ID d'unité de données)

External Unique ID (ID unique externe)

Created Date (Date de création)

State (Etat)

Flags Imported/Exported (Indicateurs importés/exportés)

Key List Tab (Onglet Liste des clés)

Data Unit ID (ID d'unité de données)

Identifie de manière unique l'unité de données.

Data Unit Description (Description de l'unité de données)

Décrit l'unité de données.

Key ID (ID de clé)

Affiche les informations de clé de l'unité de données.

Key Type (Type de clé)

Indique le type d'algorithme de chiffrement utilisé par cette clé. La seule valeur possible est AES-256.

Created Date (Date de création)

Affiche la date et l'heure de création de la clé.

Activation Date (Date d'activation)

Affiche la date et l'heure d'activation de la clé. Il s'agit de la date et de l'heure auxquelles la clé a été donnée pour la première fois à un agent. Il s'agit de la date et de l'heure de début de la période de chiffrement et de la durée de validité de la clé.

Destroyed Date (Date de destruction)

Affiche la date de destruction de la clé. Si ce champ est vide, la clé n'a pas été détruite.

Destruction Comment (Commentaire sur la destruction)

Affiche toute information fournie par l'utilisateur concernant la destruction de la clé. Si ce champ est vide, la clé n'a pas été détruite.

Exported (Exportée)

Indique si l'unité de données a été exportée.

Imported (Importée)

Indique si l'unité de données a été importée.

Derived (Dérivée)

Indique si la clé a été dérivée d'une clé principale générée par le fournisseur de clé principale (Master Key Provider). Reportez-vous au document OKM-ICSF Integration Guide pour plus d'informations.

Revoked (Révoquée)

Indique si la (les) clé(s) associée(s) à l'unité de données a (ont) été révoquée(s) par un agent. Reportez-vous à la section "Affichage/Modification d'une stratégie de clés".

Si le KMA auquel l'interface utilisateur OKM est connectée exécute OKM 2.5.2 ou une version ultérieure mais que le cluster OKM utilise actuellement la version 13 de Replication ou une version antérieure, cet attribut est affiché comme "(Unknown)" (Inconnu).

Key Group (Groupe de clés)

Affiche le groupe de clés associé à l'unité de données.

Encryption End Date (Date de fin de chiffrement)

Affiche la date et l'heure auxquelles la clé ne sera plus utilisée ou a arrêté d'être utilisée pour le chiffrement de données.

Deactivation Date (Date de désactivation)

Affiche la date et l'heure de désactivation de la clé.

Compromised Date (Date de compromission)

Affiche la date de compromission de la clé. Si ce champ est vide, la clé n'est pas compromise.

Compromised Comment (Commentaire de compromission)

Affiche toute information fournie par l'utilisateur concernant la compromission de la clé. Si ce champ est vide, la clé n'est pas compromise.

Key State (Etat de la clé)

Indique l'état de la clé de l'unité de données. Valeurs possibles :

Generated (Générée)

Indique que la clé a été créée sur un KMA d'un cluster OKM. Elle reste générée jusqu'à ce qu'elle ait été répliquée sur au moins un autre KMA dans un cluster multi-OKM. Dans un cluster avec un seul KMA, la clé reste générée jusqu'à ce qu'elle ait été enregistrée dans au moins une sauvegarde.

Ready (Prête)

Indique que la clé a été protégée contre la perte par une réplication ou une sauvegarde. Une clé prête est disponible pour l'affectation.

Protect and Process (Protéger et traiter)

Indique que la clé a été affectée lorsqu'un agent de chiffrement demande la création d'une nouvelle clé. Une clé dans cet état peut être utilisée pour le chiffrement et le déchiffrement.

Process Only (Traiter uniquement)

Indique que la clé a été affectée mais que sa période de chiffrement est expirée. Une clé dans cet état peut être utilisée pour le déchiffrement mais pas le chiffrement.

Deactivated (Désactivée)

Indique que la clé a dépassé sa durée de validité mais peut toujours être requise pour traiter (déchiffrer) les informations.

Compromised (Compromise)

Indique que la clé a été publiée pour une entité non autorisée ou découverte par elle. Une clé dans cet état peut être utilisée pour le déchiffrement mais pas le chiffrement.

Incompletely Destroyed (Partiellement détruite)

Indique que la clé a été détruite mais apparaît toujours dans au moins une sauvegarde.

Completely Destroyed (Complètement détruite)

Indique que toutes les sauvegardes dans lesquelles la clé détruite apparaît ont été détruites.

Compromised and Incompletely Destroyed (Compromise et partiellement détruite)

Indique que la clé compromise apparaît toujours dans au moins une sauvegarde.

Compromised and Completely Destroyed (Compromise et complètement détruite)

Indique que toutes les sauvegardes dans lesquelles la clé compromise apparaît ont été détruites.

Recovery Activated (Activée pour la récupération)

Indique si la clé a été associée à l'unité de données par une action de récupération. Cette condition se produit lorsqu'une clé est utilisée pour une unité de données par un KMA dans un cluster OKM, puis, qu'en raison d'une panne, la clé est ensuite demandée pour l'unité de données à partir d'un autre KMA. Si la panne (une coupure réseau, par exemple) a empêché l'affectation de la clé aux données d'être propagée sur le second KMA, celui-ci crée le lien vers l'unité de données. Une telle clé est "activée pour la récupération" et un administrateur peut souhaiter évaluer le système pour les pannes du réseau ou du KMA. Les valeurs valides sont True (Vrai) et False (Faux).

Détails de clé d'unité de données

Dans l'écran Data Unit Details (Détails de l'unité de données), sélectionnez la clé pour laquelle vous souhaitez afficher des détails et cliquez sur le bouton Details (Détails). L'écran suivant s'affiche.

In Use By Data Unit (Utilisée par l'unité de données)

Si la version de Replication est au moins la version 14, l'opérateur peut modifier la case à cocher In Use By Data Unit (Utilisée par l'unité de données) qui indique la relation entre la clé et son unité de données associée. La sélection de cette case à cocher peut aider lorsqu'une stratégie de clés qui est utilisée par des agents de lecteur de bande est accidentellement mise à jour pour activer son attribut Allow Agents To Revoke Keys (Autoriser les agents à révoquer des clés). Pour une description de cet attribut, reportez-vous à la section "Affichage des stratégies de clés".

Onglet Backups with Destroyed Keys List (Liste des sauvegardes avec clés détruites)

Une unité de données ne peut pas être considérée comme "complètement détruite" avant que toutes les sauvegardes contenant la (les) clé(s) de l'unité de données n'aient été détruites.

L'onglet Backups with Destroyed Keys List (Liste des sauvegardes avec clés détruites) de la boîte de dialogue Data Unit Details (Détails de l'unité de données) vous permet d'identifier ces sauvegardes qui contiennent des clés d'unité de données pour l'unité de données sélectionnée et le statut de destruction de ces sauvegardes.

La logique permettant de déterminer si une sauvegarde contient une clé d'unité de données particulière est la suivante :

Une sauvegarde contient une clé d'unité de données si la sauvegarde a été créée après la clé d'unité de données et si la clé d'unité de données n'a pas été détruite, ou si elle a été détruite et que sa destruction s'est produite après la création de la sauvegarde.

Toutefois, la comparaison date-heure doit prendre en compte le fait que les horloges des différents KMA d'un cluster peuvent ne pas être automatiquement synchronisées (si un serveur NTP n'est pas spécifié) et peuvent ainsi présenter des heures différentes. Pour prendre en compte la possibilité des divergences de temps au sein des KMA, une fenêtre de temps de sauvegarde est utilisée pour la comparaison. La fenêtre de temps de sauvegarde est fixée à cinq minutes. Avec la fenêtre de temps de sauvegarde, la vérification de comparaison se comporte comme suit :

Une sauvegarde contient une clé d'unité de données si la sauvegarde a été créée à moins de cinq minutes de la création de sauvegarde ou ultérieurement et si la clé d'unités de données a été détruite à moins de cinq minutes de la création de sauvegarde ou ultérieurement.

La fenêtre de temps de sauvegarde permet de réduire la probabilité de faux rapports indiquant qu'une unité de données n'existe pas dans une sauvegarde particulière alors qu'elle existe. Ces cas sont connus comme "faux négatifs" et ébranlent sérieusement les exigences de conformité de la destruction de données. Cependant, l'utilisation de la fenêtre de temps de sauvegarde augmente la probabilité de faux rapports indiquant qu'une clé d'unité de données appartient à une sauvegarde alors que ce n'est pas le cas. Au contraire des "faux négatifs", les "faux positifs" n'ébranlent pas les exigences de conformité de la destruction de données.

Data Unit ID (ID d'unité de données)

Identifie de manière unique l'unité de données.

Data Unit Description (Description de l'unité de données)

Décrit l'unité de données.

Data Unit Destruction Status (Statut de destruction de l'unité de données)

Indique le statut de destruction de l'unité de données.

Backup ID (ID de sauvegarde)

Identifie la sauvegarde.

Created Date (Date de création)

Affiche la date et l'heure de création du fichier de sauvegarde (c'est-à-dire, le début de la sauvegarde).

Destroyed Date (Date de destruction)

Affiche la date et l'heure de destruction du fichier de sauvegarde.

Pending (En attente) :

Indique si la sauvegarde est toujours en attente. Les valeurs possibles sont True (Vrai) ou False (Faux).

Completed Date (Date de fin) :

Affiche la date et l'heure de fin du fichier de sauvegarde.

Downloaded Date (Date de téléchargement) :

Affiche la date et l'heure de téléchargement du fichier de sauvegarde.

1. Cliquez sur le bouton Save (Enregistrer) pour enregistrer les modifications apportées.

Destruction des clés post-opérationnelles

Pour détruire les clés post-opérationnelles associées à une unité de données :

1. Dans l'écran Data Unit List (Liste des unités de données), sélectionnez l'unité de données que vous souhaitez détruire et cliquez sur le bouton Destroy Keys (Détruire les clés).

2. La boîte de dialogue suivante s'affiche, vous invitant à spécifier les clés à détruire.

   
   

   Deactivated keys (Clés désactivées)

   Cochez cette case si vous souhaitez détruire les clés qui ont dépassé leur période de validité mais peuvent toujours être nécessaire pour le traitement (déchiffrement) des informations de données.

   Compromised keys (Clés compromises)

   Cochez cette case si vous souhaitez détruire les clés qui ont été publiées sur une entité non autorisée ou découvertes par elle.

   Entrez un commentaire à propos de la destruction de ces clés.

   Destruction Comment (Commentaire de destruction)

3. Si vous cliquez sur le bouton Destroy (Détruire), une autre boîte de dialogue s'affiche pour confirmer la destruction de ces clés.

4. Cliquez sur le bouton Yes (Oui). Une autre boîte de dialogue s'affiche, indiquant le nombre de clés détruites.

Affichage des nombres de clés

Vous pouvez répertorier les unités de données auxquelles des clés sont associées et le nombre de clés associées à chaque unité de données. Pour afficher les nombres de clés :

1. Dans l'écran Data Unit List (Liste des unités de données), cliquez sur le bouton Key Counts (Nombres de clés).

2. La boîte de dialogue suivante s'affiche.

   
   

Menu Software Upgrade (Mise à niveau du logiciel)

L'option de menu Software Upgrade (Mise à niveau du logiciel) permet à l'opérateur d'effectuer la première phase du processus de mise à niveau logicielle :

• Chargement d'un fichier de mise à niveau logicielle sur le KMA

• Application immédiate de la mise à niveau.

  Remarque:

  La deuxième phase du processus, l'activation d'une version logicielle, doit être effectuée par le responsable de la sécurité. Pour plus d'informations, reportez-vous à la section "Software Upgrade (Mise à niveau du logiciel)".

Les mises à jour logicielles sont signées par Oracle et vérifiées par le KMA avant d'être appliquées.

Instructions relatives à l'implémentation de mises à niveau logicielles

• Avant d'exécuter cette fonction, sauvegardez votre système. Pour obtenir les procédures, reportez-vous à la section "Création d'une sauvegarde".

• Utilisez une version de l'interface utilisateur du gestionnaire OKM qui correspond à la version de la mise à niveau que vous souhaitez charger sur le(s) KMA.

• Les KMA exécutant KMS 2.1 ou une version antérieure doivent effectuer la mise à niveau vers KMS 2.2 avant de pouvoir effectuer la mise à niveau vers OKM 2.3 et les versions ultérieures.

• Le processus de chargement et d'application peut être long si le gestionnaire OKM est connecté à distance au KMA ou si la connexion entre le gestionnaire OKM et le KMA est lente. Pour atténuer cela, le fichier de mise à niveau logicielle peut être téléchargé sur une station de travail ou un ordinateur portable sur lequel le gestionnaire OKM est installé et qui est connecté au même sous-réseau que le KMA. La présence d'un routeur entre le gestionnaire OKM et le KMA peut ralentir le processus de mise à niveau.

• Les processus de chargement et application, avec une bonne connexion entre le gestionnaire OKM et le KMA, nécessitent au mieux 30 minutes. Le processus d'activation nécessitent au mieux entre 5 et 15 minutes. Si le processus de chargement est très lent, essayez de vous connecter au même sous-réseau que le KMA.

• Chargez et appliquez le fichier de mise à niveau logicielle sur chaque KMA l'un après l'autre (pour aider à étaler la charge du réseau), puis activez la mise à niveau logicielle sur chaque KMA l'un après l'autre (pour réduire le nombre de KMA simultanément hors ligne).

• Si l'un des processus de mise à niveau échoue (chargement, vérification, application, activation, changement de la version de réplication), le gestionnaire OKM génère des messages d'audit décrivant le motif de l'échec et une solution proposée.

• Le compte de support technique est désactivé sur les KMA mis à niveau et les comptes doivent être réactivés si nécessaire.

Chargement et application des mises à niveau logicielles

La première phase du processus de mise à niveau logicielle consiste à charger et à appliquer le fichier de mise à niveau logicielle.

1. Téléchargez le fichier de mise à niveau logicielle sur votre ordinateur ou station de travail à partir de l'emplacement de distribution. La version est visible dans le nom du fichier.

   Remarque:

   Enregistrez le fichier dans un emplacement auquel vous pouvez accéder depuis l'interface utilisateur du gestionnaire OKM.

2. Dans le menu Local Configuration (Configuration locale), sélectionnez Software Upgrade (Mise à niveau du logiciel). L'écran Software Upgrade (Mise à niveau du logiciel) s'affiche.

   La version active du logiciel est mise en évidence, la colonne Active est définie sur True (Vrai) et une version inactive est affichée.

   
   

   Les boutons affichés sur cet écran incluent :

   Activate (Activer)

   Le responsable de la sécurité peut sélectionner une version logicielle inactive et cliquer sur ce bouton pour activer la version logicielle sélectionnée. Des messages s'affichent pour indiquer que cette version logicielle est activée et le KMA se réinitialise.

   Switch Replication Version (Changer la version de réplication)

   Le responsable de la sécurité peut sélectionner la version logicielle active et cliquer sur ce bouton pour changer la version de réplication.

   Software Upgrade File Name (Nom du fichier de mise à niveau logicielle)

   Entrez le nom du fichier de mise à niveau logicielle.

   Browse (Parcourir)

   Ce bouton permet de rechercher le fichier de mise à niveau logicielle sur votre système local.

   Upload and Apply (Charger et appliquer)

   Ce bouton permet de démarrer le processus de chargement et d'application. Des messages indiquent lorsque le fichier de mise à niveau logicielle est chargé et appliqué.

3. Dans le champ Software Upgrade File Name (Nom du fichier de mise à niveau logicielle), entrez le nom du fichier de mise à niveau logicielle. Vous pouvez également cliquer sur le bouton Browse (Parcourir) pour rechercher le fichier. Cliquez sur le bouton Upload and Apply (Charger et appliquer).

   OKM démarre le processus de chargement, vérification et application et affiche un indicateur de progression indiquant l'étape à laquelle le processus se trouve.

   Remarque:

   Le processus de chargement ajoutant du trafic au réseau, il est recommandé de ne pas charger tous les KMA simultanément dans un cluster occupé.

Activation d'une version logicielle

La deuxième phase du processus de mise à niveau logicielle consiste à activer la version logicielle inactive que vous avez chargée et appliquée. Le responsable de la sécurité doit s'en occuper. Pour plus d'informations, reportez-vous à la section "Software Upgrade (Mise à niveau du logiciel)".

Autres fonctions

Un opérateur a également accès aux menus suivants :

• Pour obtenir les procédures d'affichage des informations détaillées d’un fichier de sauvegarde, reportez-vous à la section "Menu Backup List (Liste des sauvegardes)".

• Pour obtenir les procédures d'affichage d'une liste des événements d'audit, reportez-vous à la section "Menu Audit Event List (Liste des événements d'audit)".

• Pour obtenir les procédures d'affichage de la liste des KMA, reportez-vous à la section "Menu KMA List (Liste des KMA)".

• Pour obtenir les procédures d'affichage d'une liste des sites, reportez-vous à la section "Menu Site List (Liste des sites)".

• Pour obtenir les procédures d'affichage de la liste des gestionnaires SNMP, reportez-vous à la section "Menu SNMP Manager List (Liste des gestionnaires SNMP)".

• Pour obtenir les procédures d'affichage du statut de verrouillage des KMA, reportez-vous à la section "Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA)".

• Pour accéder au menu KMA List (Liste des KMA), reportez-vous à la section "Menu KMA List (Liste des KMA)".

• Pour demander les informations relatives aux performances des KMA dans ce cluster OKM, reportez-vous à la section "Menu KMA Performance List (Liste de performances des KMA)".

• Pour demander les informations de charge relatives au KMA auquel l'interface utilisateur est connectée, reportez-vous à la section "Menu Current Load (Charge en cours)".

• Pour interroger des clés directement sans interroger les unités de données, reportez-vous à la section "Menu Key List (Liste de clés)".