Einrichten und Konfigurieren von kundenverwalteten Schlüsseln mithilfe der API
In diesem Dokument wird der Prozess zum Aktivieren der Funktion für kundenverwaltete Schlüssel (CMK) in Adobe Experience Platform mithilfe der API beschrieben. Anweisungen zum Abschließen dieses Prozesses mithilfe der Benutzeroberfläche finden Sie im Dokument CMK-Setup für die Benutzeroberfläche.
Voraussetzungen
Um den Abschnitt Verschlüsselung in Adobe Experience Platform anzuzeigen und aufzurufen, müssen Sie eine Rolle erstellt und dieser Rolle die Berechtigung Kundenverwalteten Schlüssel verwalten zugewiesen haben. Jeder Benutzer mit der Berechtigung Kunden-verwalteten Schlüssel verwalten kann CMK für seine Organisation aktivieren.
Weiterführende Informationen zum Zuweisen von Rollen und Berechtigungen in Experience Platform finden Sie in der Dokumentation Berechtigungen konfigurieren .
Um CMK zu aktivieren, muss Ihr Azure Key Vault mit den folgenden Einstellungen konfiguriert werden:
Einrichten der CMK-App register-app
Nachdem Sie Ihren Key Vault konfiguriert haben, müssen Sie sich für die CMK-Anwendung registrieren, die mit Ihrem Azure -Mandanten verknüpft wird.
Erste Schritte
Zum Registrieren des CMK-Programms müssen Sie Aufrufe an Platform-APIs durchführen. Weitere Informationen dazu, wie Sie die erforderlichen Authentifizierungskopfzeilen für diese Aufrufe erfassen, finden Sie im Handbuch zur Platform-API-Authentifizierung.
Während das Authentifizierungshandbuch Anweisungen zum Generieren Ihres eigenen eindeutigen Werts für die erforderliche x-api-key
-Anfragekopfzeile enthält, verwenden alle API-Vorgänge in diesem Handbuch stattdessen den statischen Wert acp_provisioning
. Sie müssen allerdings weiterhin eigene Werte für {ACCESS_TOKEN}
und {ORG_ID}
angeben.
In allen in diesem Handbuch angezeigten API-Aufrufen wird platform.adobe.io
als Stammpfad verwendet, der standardmäßig auf den VA7-Bereich verweist. Wenn Ihr Unternehmen eine andere Region verwendet, muss auf platform
ein Bindestrich und der Ihrer Organisation zugewiesene Regionscode folgen: nld2
für NLD2 oder aus5
für AUS5 (z. B. platform-aus5.adobe.io
). Wenn Sie die Region Ihres Unternehmens nicht kennen, wenden Sie sich an Ihren Systemadministrator.
Abrufen einer Authentifizierungs-URL fetch-authentication-url
Um den Registrierungsprozess zu starten, stellen Sie eine GET-Anfrage an den App-Registrierungsendpunkt, um die erforderliche Authentifizierungs-URL für Ihre Organisation abzurufen.
Anfrage
curl -X GET \
https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}'
Antwort
Eine erfolgreiche Antwort gibt eine applicationRedirectUrl
-Eigenschaft zurück, die die Authentifizierungs-URL enthält.
{
"id": "byok",
"name": "acpebae9422Caepcmkmultitenantapp",
"applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
"applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
"applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}
Kopieren Sie die applicationRedirectUrl
-Adresse und fügen Sie sie in einen Browser ein, um ein Authentifizierungsdialogfeld zu öffnen. Wählen Sie Accept aus, um den Service-Prinzipal der CMK-App zu Ihrem Azure-Mandanten hinzuzufügen.
Zuweisen der CMK-App zu einer Rolle assign-to-role
Navigieren Sie nach Abschluss des Authentifizierungsprozesses zu Ihrem Azure-Schlüsseltresor und wählen Sie Access control in der linken Navigation aus. Wählen Sie von hier aus Add gefolgt von Add role assignment aus.
Im nächsten Bildschirm werden Sie aufgefordert, eine Rolle für diese Zuweisung auszuwählen. Wählen Sie Key Vault Crypto Service Encryption User aus, bevor Sie auf Next klicken, um fortzufahren.
Wählen Sie auf dem nächsten Bildschirm Select members aus, um ein Dialogfeld in der rechten Leiste zu öffnen. Verwenden Sie die Suchleiste, um den Service-Prinzipal für das CMK-Programm zu suchen und ihn aus der Liste auszuwählen. Wenn Sie fertig sind, klicken Sie auf Save.
Aktivieren der Konfiguration des Verschlüsselungsschlüssels auf Experience Platform send-to-adobe
Nach der Installation der CMK-App in Azure können Sie Ihre Verschlüsselungsschlüssel-ID an Adobe senden. Wählen Sie in der linken Navigation Keys aus, gefolgt vom Namen des Schlüssels, den Sie senden möchten.
Wählen Sie die neueste Version des Schlüssels aus, und seine Detailseite wird angezeigt. Von hier aus können Sie optional die zulässigen Vorgänge für den Schlüssel konfigurieren.
Das Feld Schlüsselkennung zeigt die URI-Kennung für den Schlüssel an. Kopieren Sie diesen URI-Wert zur Verwendung im nächsten Schritt.
Nachdem Sie den Schlüsseltresor-URI erhalten haben, können Sie ihn mit einer POST-Anfrage an den CMK-Konfigurations-Endpunkt senden.
Anfrage
code language-shell |
---|
|
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 | |
---|---|
Eigenschaft | Beschreibung |
name |
Ein Name für die Konfiguration. Stellen Sie sicher, dass Sie sich diesen Wert merken, da der Konfigurationsstatus in einem späteren Schritt überprüft werden muss. Bei dem Wert ist die Groß-/Kleinschreibung zu beachten. |
type |
Der Konfigurationstyp. Muss auf BYOK_CONFIG festgelegt werden. |
imsOrgId |
Ihre Organisations-ID. Diese ID muss mit dem unter der Kopfzeile x-gw-ims-org-id angegebenen Wert übereinstimmen. |
configData |
Diese Eigenschaft enthält die folgenden Details zur Konfiguration:
|
Antwort
code language-json |
---|
|
Der Auftrag sollte die Verarbeitung innerhalb weniger Minuten abschließen.
Überprüfen des Konfigurationsstatus check-status
Um den Status der Konfigurationsanfrage zu überprüfen, können Sie eine GET-Anfrage stellen.
Anfrage
Sie müssen den name
der Konfiguration, die Sie überprüfen möchten, an den Pfad (config1
im Beispiel unten) anhängen und einen configType
-Abfrageparameter, der auf BYOK_CONFIG
gesetzt ist, einfügen.
code language-shell |
---|
|
Antwort
code language-json |
---|
|
Das status
-Attribut kann einen von vier Werten mit folgenden Bedeutungen haben:
RUNNING
: Prüft, ob Platform auf den Schlüssel und den Schlüssel-Vault zugreifen kann.UPDATE_EXISTING_RESOURCES
: Das System fügt den Schlüsseltresor und den Schlüsselnamen zu den Datenspeichern in allen Sandboxes in Ihrer Organisation hinzu.COMPLETED
: Der Schlüssel und der Schlüsselname wurden den Datenspeichern erfolgreich hinzugefügt.FAILED
: Es ist ein Problem aufgetreten, das in erster Linie mit dem Schlüssel, dem Schlüsseltresor oder der Einrichtung der Multi-Mandanten-App-zusammenhängt.
Nächste Schritte
Durch Ausführung der oben genannten Schritte haben Sie CMK für Ihre Organisation erfolgreich aktiviert. Daten, die in Primärdatenspeicher erfasst werden, werden jetzt mit den Schlüsseln in Ihrem Azure Key Vault verschlüsselt und entschlüsselt. Weitere Informationen zur Datenverschlüsselung in Adobe Experience Platform finden Sie in der Verschlüsselungsdokumentation.