IMS 的数据集加密支持
z/OS 数据集加密在 z/OS 2.3 和更高版本以及安装 APAR OA50569 和从属 APAR 之后的 z/OS 2.2 上可用。
您可以使用 z/OS 数据集加密来加密 DFSMS 访问方法所访问的数据集。 将数据集定义为 SMS 管理的扩展格式数据集以及与其关联的密钥标签。
要创建已加密的数据集,必须在首次分配数据集时 (即创建数据集时) 向该数据集分配密钥标签。 可通过下列其中一种方法来指定密钥标签:
- 使用 DFP RACF 段的 DATAKEY 参数创建将密钥标签与数据集名称模式相关联的 SAF 规则。
- 通过使用 JCL ,动态分配或 TSO 分配 (DSKEYLBL 参数) 来指定密钥标签。
- 在 IDCAMS DEFINE 命令 (KEYLABEL 参数) 上指定密钥标签。
- 将 DATACLAS 参数与与其关联的密钥标签配合使用。
列出这些方法的顺序是优先顺序。 例如,如果您具有与正在创建的数据集匹配的 SAF 规则,并且还在 JCL DD 语句的 DSKEYLBL 参数上指定了密钥标签,那么将使用 SAF 密钥标签。 有关数据集加密的更多信息,请参阅 APAR OA50569: z/OS 数据集加密。
必须将现有数据集复制到使用密钥标签定义的新扩展格式数据集以进行加密。 现有数据集不会因为其 DATACLAS 具有添加到其中的密钥标签而加密,或者 RACF 规则将密钥标签与数据集相关联。
打开数据集时,将使用 SAF 访问规则来检查对密钥标签的访问。 将针对密钥标签 CSFKEYS 类检查发生打开操作的地址空间的用户标识。 用户标识必须对 CSFKEYS 类中的资源密钥标签具有 READ 权限,才能访问加密密钥以从加密数据集读取和写入加密数据集。
下表列出了支持 z/OS 数据集加密的数据集以及 IMS 地址空间,这些数据集的用户标识需要访问与这些数据集关联的密钥标签。
注: 在下表中, "IMS 地址空间 (其用户标识需要访问密钥标签)" 列并非详尽无遗。 打开下表中的其中一个数据集的任何程序或实用程序都需要访问与该数据集关联的密钥标签。
| 数据集类型 | IMS 地址空间,其用户标识需要访问密钥标签 |
|---|---|
| OSAM (仅限线性数据集) | 用于访问 OSAM 数据库的 CTL , DLI ,批处理作业和实用程序 |
| VSAM (HALDB ,非 HALDB) | 用于访问 VSAM 数据库的 CTL , DLI ,批处理作业和实用程序 |
| GSAM | IMS BMP 和批处理作业 |
| 联机日志数据集 (DFSOLPnn 和 DFSOLSnn) | CTL (包括 XRF 备用, FDBR 区域) ,日志归档实用程序,访问 OLDS 的其他实用程序以及 RSR 传输管理器 |
| 批处理日志数据集 | IMS 批处理作业,访问批处理日志的实用程序和 RSR 传输管理器 |
| SLDS | CTL ,日志归档实用程序,更改累积实用程序,数据库恢复实用程序以及其他访问 SLDS 和 RSR 传输管理器的实用程序 |
| RLDS | 日志归档实用程序,更改累积实用程序和数据库恢复实用程序 |
| 更改 Accum 数据集 | 更改累积实用程序和数据库恢复实用程序 |
| 映像副本数据集 | 映像副本实用程序和数据库恢复实用程序 |
| CQS SRDS | CQS |
| IMS Connect 记录器跟踪 | IMS Connect 和处理 IMS 记录器跟踪的实用程序 |
| "BPE 跟踪" 数据集 | 使用 BPE (处理 BPE 跟踪数据的实用程序) 的地址空间 (包括 IPCS TSO 用户) |
| 快速路径跟踪 | 从属区域 |
| IMS 外部跟踪数据集 | 用于处理 IMS 外部跟踪的 CTL 和实用程序 |
| z/OS 日志流卸载和登台数据集 | z/OS 记录器地址空间 |
| IMS 存储库数据集 | 存储库 服务器 |
| RRDS | CTL 和访问 RRDS 的实用程序 |
| RECON 数据集 | DBRC ,使用 DBRC 的 IMS 批处理作业以及访问 RECON 数据集的实用程序和工具 |
| 监视数据集 | CTL ,用于处理监视数据输出的实用程序 |
| CQS 系统检查点数据集 | CQS |
| 预写数据集 (WADS) | CTL (包括 XRF 备用, FDBR 区域) ,日志恢复实用程序和其他访问 WADS 的实用程序 |
| 快速路径 DEDB 区域数据集 (ADS) | CTL 和访问 DEDB ADS 的实用程序 |
无法对以下数据集进行加密,因为这些数据集是使用非标准访问方法访问的,或者 DFSMS 不支持对这些数据集进行加密:
- 使用连续数据集 (物理 OSAM 数据集) 的 OSAM
- MSDB 数据集,包括转储,初始化和检查点
- 队列管理器数据集,包括 LGMSG , SHMSG 和 QBLKS
- 重新启动数据集 (RDS)
- 所有 PDS/PDSE 类型数据集,包括 PSBLIB , DBDLIB , ACBLIB , MODBLKS , FMTLIB , IMSTFMTx , IMSDALIB ,程序库, PROCLIB 或配置数据集,目录目录数据集,登台数据集和 BSDS
- 假脱机数据集