Einrichten und Konfigurieren von kundenverwalteten Schlüsseln mithilfe der API

In diesem Dokument wird der Prozess zum Aktivieren der Funktion für kundenverwaltete Schlüssel (CMK) in Adobe Experience Platform mithilfe der API beschrieben. Anweisungen zum Ausführen dieses Prozesses mithilfe der Benutzeroberfläche finden Sie im Abschnitt Dokument zur Einrichtung der Benutzeroberfläche für CMK.

Voraussetzungen

So zeigen Sie die Verschlüsselung in Adobe Experience Platform müssen Sie eine Rolle erstellt und der Verwalten des kundenverwalteten Schlüssels Berechtigung für diese Rolle. Jeder Benutzer, der über Verwalten des kundenverwalteten Schlüssels -Berechtigung kann CMK für ihre Organisation aktivieren.

Weiterführende Informationen zum Zuweisen von Rollen und Berechtigungen in Experience Platform finden Sie im Abschnitt Berechtigungsdokumentation konfigurieren.

Um CMK zu aktivieren, muss Ihre Azure Key Vault muss konfiguriert werden mit den folgenden Einstellungen:

Einrichten der CMK-App register-app

Nachdem Sie Ihren KeyVault konfiguriert haben, müssen Sie sich für die CMK-Anwendung registrieren, die mit Ihrer Azure Mandanten.

Erste Schritte

Zum Registrieren des CMK-Programms müssen Sie Aufrufe an Platform-APIs durchführen. Weitere Informationen dazu, wie Sie die erforderlichen Authentifizierungskopfzeilen für diese Aufrufe erfassen, finden Sie im Handbuch zur Platform-API-Authentifizierung.

Während das Authentifizierungshandbuch Anweisungen zum Generieren Ihres eigenen eindeutigen Werts für die erforderliche x-api-key-Anfragekopfzeile enthält, verwenden alle API-Vorgänge in diesem Handbuch stattdessen den statischen Wert acp_provisioning. Sie müssen allerdings weiterhin eigene Werte für {ACCESS_TOKEN} und {ORG_ID} angeben.

In allen in diesem Handbuch angezeigten API-Aufrufen: platform.adobe.io wird als Stammpfad verwendet, der standardmäßig auf den VA7-Bereich verweist. Wenn Ihr Unternehmen eine andere Region verwendet, platform muss ein Bindestrich und der Ihrer Organisation zugewiesene Regions-Code folgen: nld2 für NLD2 oder aus5 für AUS5 (z. B.: platform-aus5.adobe.io). Wenn Sie die Region Ihres Unternehmens nicht kennen, wenden Sie sich an Ihren Systemadministrator.

Abrufen einer Authentifizierungs-URL fetch-authentication-url

Um den Registrierungsprozess zu starten, stellen Sie eine GET-Anfrage an den App-Registrierungsendpunkt, um die erforderliche Authentifizierungs-URL für Ihre Organisation abzurufen.

Anfrage

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Antwort

Eine erfolgreiche Antwort gibt eine applicationRedirectUrl-Eigenschaft zurück, die die Authentifizierungs-URL enthält.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Kopieren Sie die applicationRedirectUrl-Adresse und fügen Sie sie in einen Browser ein, um ein Authentifizierungsdialogfeld zu öffnen. Wählen Sie Accept aus, um den Service-Prinzipal der CMK-App zu Ihrem Azure-Mandanten hinzuzufügen.

Dialogfeld für Microsoft-Berechtigungsanfragen mit Accept hervorgehoben.

Zuweisen der CMK-App zu einer Rolle assign-to-role

Navigieren Sie nach Abschluss des Authentifizierungsprozesses zu Ihrem Azure-Schlüsseltresor und wählen Sie Access control in der linken Navigation aus. Wählen Sie von hier aus Add gefolgt von Add role assignment aus.

Das Microsoft Azure-Dashboard mit Add und Add role assignment hervorgehoben.

Im nächsten Bildschirm werden Sie aufgefordert, eine Rolle für diese Zuweisung auszuwählen. Wählen Sie Key Vault Crypto Service Encryption User aus, bevor Sie auf Next klicken, um fortzufahren.

NOTE
Wenn Sie Managed-HSM Key Vault Ebene auswählen, müssen Sie die Managed HSM Crypto Service Encryption User Benutzerrolle.

Das Microsoft Azure-Dashboard mit dem Key Vault Crypto Service Encryption User hervorgehoben.

Wählen Sie auf dem nächsten Bildschirm Select members aus, um ein Dialogfeld in der rechten Leiste zu öffnen. Verwenden Sie die Suchleiste, um den Service-Prinzipal für das CMK-Programm zu suchen und ihn aus der Liste auszuwählen. Wenn Sie fertig sind, klicken Sie auf Save.

NOTE
Wenn Sie Ihr Programm in der Liste nicht finden, wurde Ihr Service-Prinzipal in Ihrem Mandanten nicht akzeptiert. Arbeiten Sie mit Ihrem Azure Administrator oder Vertreter.

Aktivieren der Konfiguration des Verschlüsselungsschlüssels auf Experience Platform send-to-adobe

Nach der Installation der CMK-App in Azure können Sie Ihre Verschlüsselungsschlüssel-ID an Adobe senden. Wählen Sie in der linken Navigation Keys aus, gefolgt vom Namen des Schlüssels, den Sie senden möchten.

Das Microsoft Azure-Dashboard mit dem Keys -Objekt und der Schlüsselname hervorgehoben.

Wählen Sie die neueste Version des Schlüssels aus, und seine Detailseite wird angezeigt. Von hier aus können Sie optional die zulässigen Vorgänge für den Schlüssel konfigurieren.

IMPORTANT
Die für den Schlüssel mindestens erforderlichen Vorgänge sind die Wrap Key und Unwrap Key Berechtigungen. Sie können Encrypt, Decrypt, Sign, und Verify sollte man wollen.

Das Feld Schlüsselkennung zeigt die URI-Kennung für den Schlüssel an. Kopieren Sie diesen URI-Wert zur Verwendung im nächsten Schritt.

Die Schlüsseldetails des Microsoft Azure-Dashboards mit dem Permitted operations und die Abschnitte Schlüssel-URL kopieren hervorgehoben sind.

Nachdem Sie den Schlüsseltresor-URI erhalten haben, können Sie ihn mit einer POST-Anfrage an den CMK-Konfigurations-Endpunkt senden.

NOTE
Nur der Schlüssel und der Schlüsselname werden bei Adobe gespeichert, nicht die Schlüsselversion.

Anfrage

Eine Beispielanfrage zum Senden des Schlüssel-Vault-URI an den CMK-Konfigurationsendpunkt.
code language-shell
curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2
Eigenschaft Beschreibung
name Ein Name für die Konfiguration. Stellen Sie sicher, dass Sie sich diesen Wert merken, da der Konfigurationsstatus in einem Späterschritt. Bei dem Wert ist die Groß-/Kleinschreibung zu beachten.
type Der Konfigurationstyp. Muss auf BYOK_CONFIG festgelegt werden.
imsOrgId Ihre Organisations-ID. Diese ID muss mit dem Wert übereinstimmen, der unter der Variablen x-gw-ims-org-id -Kopfzeile.
configData

Diese Eigenschaft enthält die folgenden Details zur Konfiguration:

  • providerType: Muss auf AZURE_KEYVAULT festgelegt werden.
  • keyVaultKeyIdentifier: Der URI für den Schlüsseltresor, den Sie zuvor kopiert haben.

Antwort

Die erfolgreiche Antwort gibt die Details des Konfigurationsauftrags zurück.
code language-json
{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{ORG_ID}",
    "status": "NEW"
  },
  "status": "CREATED"
}

Der Auftrag sollte die Verarbeitung innerhalb weniger Minuten abschließen.

Überprüfen des Konfigurationsstatus check-status

Um den Status der Konfigurationsanfrage zu überprüfen, können Sie eine GET-Anfrage stellen.

Anfrage

Sie müssen den name der Konfiguration, die Sie überprüfen möchten, an den Pfad (config1 im Beispiel unten) anhängen und einen configType-Abfrageparameter, der auf BYOK_CONFIG gesetzt ist, einfügen.

Eine Beispielanfrage zur Überprüfung des Status der Konfigurationsanfrage.
code language-shell
curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Antwort

Die erfolgreiche Antwort gibt den Status des Auftrags zurück.
code language-json
{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{ORG_ID}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

Das status-Attribut kann einen von vier Werten mit folgenden Bedeutungen haben:

  1. RUNNING: Prüft, ob Platform auf den Schlüssel und den Schlüssel-Vault zugreifen kann.
  2. UPDATE_EXISTING_RESOURCES: Das System fügt den Schlüsseltresor und den Schlüsselnamen zu den Datenspeichern in allen Sandboxes in Ihrer Organisation hinzu.
  3. COMPLETED: Der Schlüssel und der Schlüsselname wurden den Datenspeichern erfolgreich hinzugefügt.
  4. FAILED: Es ist ein Problem aufgetreten, das in erster Linie mit dem Schlüssel, dem Schlüsseltresor oder der Einrichtung der Multi-Mandanten-App-zusammenhängt.

Nächste Schritte

Durch Ausführung der oben genannten Schritte haben Sie CMK für Ihre Organisation erfolgreich aktiviert. Daten, die in Primärdatenspeicher erfasst werden, werden jetzt mit den Schlüsseln in Ihrer Azure Key Vault. Weitere Informationen zur Datenverschlüsselung in Adobe Experience Platform finden Sie unter Verschlüsselungsdokumentation.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5