IMS でのデータ・セット暗号化のサポート
z/OS データ・セット暗号化は、z/OS 2.3 以降、および APAR OA50569 と従属 APAR のインストール後の z/OS 2.2 で使用できます。
z/OS データ・セット暗号化を使用して、DFSMS アクセス方式によってアクセスされるデータ・セットを暗号化することができます。 データ・セットを、関連付けられた鍵ラベルを持つ SMS 管理の拡張フォーマット・データ・セットとして定義します。
- DFP RACF セグメントの DATAKEY パラメーターを使用して、鍵ラベルをデータ・セット名パターンに関連付ける SAF 規則を作成します。
- JCL、動的割り振り、または TSO ALLOCATE を使用して、鍵ラベルを指定します (DSKEYLBL パラメーター)。
- IDCAMS DEFINE コマンドで鍵ラベルを指定します (KEYLABEL パラメーター )。
- DATACLAS パラメーターと、それに関連する鍵ラベルを使用します。
リストされている方式の順序が優先順位の順序になります。 例えば、作成するデータ・セットに一致する SAF 規則があり、JCL DD ステートメントの DSKEYLBL パラメーターで鍵ラベルを指定している場合は、SAF 鍵ラベルが使用されます。 データ・セット暗号化について詳しくは、 APAR OA50569: z/OS Data Set Encryptionを参照してください。
既存のデータ・セットを、暗号化されるように鍵ラベルを使用して定義された新規の拡張フォーマット・データ・セットにコピーする必要があります。 既存のデータ・セットは、単にその DATACLAS に付加された鍵ラベルがあること、または RACF 規則で鍵ラベルがデータ・セットに関連付けられていることだけを理由に暗号化されることはありません。
鍵ラベルへのアクセスは、データ・セットがオープンされたときに SAF アクセス規則を使用して検査されます。 オープン操作が発生したアドレス・スペースのユーザー ID は、鍵ラベルの CSFKEYS クラスと突き合わせて検査されます。 暗号化されたデータ・セットに対する読み取りおよび書き込みのために暗号鍵にアクセスできるようにするには、ユーザー ID が CSFKEYS クラスのリソース・キー・ラベルに対する READ 権限を持っている必要があります。
以下の表は、z/OS データ・セット暗号化をサポートするデータ・セットと、ユーザー ID がデータ・セットに関連付けられている鍵ラベルへのアクセス権限を必要とする IMS アドレス・スペースをリストしています。
| データ・セットのタイプ | ユーザー ID が鍵ラベルへのアクセス権限を必要とする IMS アドレス・スペース |
|---|---|
| VSAM (HALDB、非 HALDB) | VSAM DB にアクセスする CTL、DLI、バッチ・ジョブ、およびユーティリティー |
| GSAM | IMS の BMP ジョブおよびバッチ・ジョブ |
| オンライン・ログ・データ・セット (DFSOLPnn、DFSOLSnn) | OLDS にアクセスする CTL (XRF 代替、FDBR 領域を含む)、ログ保存ユーティリティー、その他のユーティリティー、および RSR トランスポート・マネージャー |
| バッチ・ログ・データ・セット | バッチ・ログにアクセスする IMS バッチ・ジョブ、ユーティリティー、および RSR トランスポート・マネージャー |
| SLDS | SLDS にアクセスする CTL、ログ保存ユーティリティー、変更累積ユーティリティー、DB リカバリー・ユーティリティーとその他のユーティリティー、および RSR トランスポート・マネージャー |
| RLDS | ログ保存ユーティリティー、変更累積ユーティリティー、および DB リカバリー・ユーティリティー |
| 変更累積データ・セット | 変更累積ユーティリティーおよび DB リカバリー・ユーティリティー |
| イメージ・コピー・データ・セット | イメージ・コピー・ユーティリティーおよび DB リカバリー・ユーティリティー |
| CQS SRDS | CQS |
| IMS Connect レコーダー・トレース | IMS レコーダー・トレースを処理する IMS Connect および ユーティリティー |
| BPE トレース・データ・セット | BPE を使用するアドレス・スペース、BPE トレース・データを処理するユーティリティー (IPCS TSO ユーザーを含む) |
| 高速機能トレース | 従属領域 |
| IMS 外部トレース・データ・セット | IMS 外部トレースを処理する CTL およびユーティリティー |
| z/OS ログ・ストリームのオフロード・データ・セットおよびステージング・データ・セット | z/OS ロガー・アドレス・スペース |
| IMS リポジトリー・データ・セット | リポジトリー・サーバー |
| RRDS | RRDS にアクセスする CTL およびユーティリティー |
| RECON データ・セット (RECON data set) | DBRC、DBRC を使用する IMS バッチ・ジョブ、および RECON データ・セットにアクセスするユーティリティーとツール |
| モニター・データ・セット | CTL、モニター・データ出力を処理するユーティリティー |
| CQS システム・チェックポイント・データ・セット | CQS |
| 先行書き込みデータ・セット (WADS) | CTL (XRF 代替、FDBR 領域を含む)、ログ・リカバリー・ユーティリティー、および WADS にアクセスする他のユーティリティー |
| 高速機能 DEDB エリア・データ・セット (ADS) | DEDB ADS にアクセスする CTL およびユーティリティー |
以下のデータ・セットは、標準外のアクセス方式を使用してアクセスされるか DFSMS が暗号化をサポートしていないために、暗号化できません。
- 順次データ・セットを使用する OSAM (物理 OSAM データ・セット)
- MSDB データ・セット (ダンプ、init、およびチェックポイントを含む)
- キュー・マネージャー・データ・セット (LGMSG、 SHMSG、および QBLKS を含む)
- 再始動データ・セット (RDS)
- すべての PDS/PDSE タイプのデータ・セット (PSBLIB、 DBDLIB、 ACBLIB、 MODBLKS、 FMTLIB、 IMSTFMTx、 IMSDALIB、プログラム・ライブラリー、PROCLIB または構成データ・セット、カタログ・ディレクトリー・データ・セット、ステージング・データ・セット、および BSDS を含む)
- スプール・データ・セット