DokumentationExperience PlatformÜbersicht zu Experience Platform

Einrichten und Konfigurieren von kundenverwalteten Schlüsseln für Azure mithilfe der API

Last update: Wed Jan 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Entwickler

In diesem Dokument werden die Azure-spezifischen Anweisungen zum Aktivieren von kundenverwalteten Schlüsseln (CMK) in Adobe Experience Platform mithilfe der -API behandelt. Anweisungen zum Abschließen dieses Prozesses mithilfe der Benutzeroberfläche für Azure-gehostete Platform-Instanzen finden Sie im Dokument UI CMK-Einrichtung.

Spezifische Anweisungen für AWS finden Sie im AWS-Setup-Handbuch.

Voraussetzungen

Um den Abschnitt Verschlüsselung in Adobe Experience Platform anzuzeigen, müssen Sie eine Rolle erstellt und dieser Rolle die Berechtigung Kundenverwalteten Schlüssel verwalten zugewiesen haben. Jeder Benutzer, der über die Berechtigung Kundenverwalteten Schlüssel verwalten verfügt, kann für seine Organisation CMK aktivieren.

Weitere Informationen zur Zuweisung von Rollen und Berechtigungen in Experience Platform finden Sie in der Dokumentation zu Berechtigungen konfigurieren.

Um CMK für Azure-gehostete Plattforminstanzen zu aktivieren, muss Ihr Azure Schlüsseltresor“ mitEinstellungen konfiguriert werden:

Einrichten der CMK-App register-app

Nachdem Sie Ihren Schlüsseltresor konfiguriert haben, müssen Sie sich für das CMK-Programm registrieren, das sich mit Ihrem Azure verknüpft.

Erste Schritte

Zum Registrieren des CMK-Programms müssen Sie Aufrufe an Platform-APIs durchführen. Weitere Informationen dazu, wie Sie die erforderlichen Authentifizierungskopfzeilen für diese Aufrufe erfassen, finden Sie im Handbuch zur Platform-API-Authentifizierung.

Während das Authentifizierungshandbuch Anweisungen zum Generieren Ihres eigenen eindeutigen Werts für die erforderliche x-api-key-Anfragekopfzeile enthält, verwenden alle API-Vorgänge in diesem Handbuch stattdessen den statischen Wert acp_provisioning. Sie müssen allerdings weiterhin eigene Werte für {ACCESS_TOKEN} und {ORG_ID} angeben.

In allen in diesem Handbuch gezeigten API-Aufrufen wird platform.adobe.io als Stammpfad verwendet, der standardmäßig auf die VA7-Region verweist. Wenn Ihr Unternehmen eine andere Region verwendet, muss auf platform ein Bindestrich und der Ihrer Organisation zugewiesene Regionscode folgen: nld2 für NLD2 oder aus5 für AUS5 (z. B.: platform-aus5.adobe.io). Wenn Sie die Region Ihres Unternehmens nicht kennen, wenden Sie sich an Ihren Systemadministrator.

Abrufen einer Authentifizierungs-URL fetch-authentication-url

Um den Registrierungsprozess zu starten, stellen Sie eine GET-Anfrage an den App-Registrierungsendpunkt, um die erforderliche Authentifizierungs-URL für Ihre Organisation abzurufen.

Anfrage

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Antwort

Eine erfolgreiche Antwort gibt eine applicationRedirectUrl-Eigenschaft zurück, die die Authentifizierungs-URL enthält.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Kopieren Sie die applicationRedirectUrl-Adresse und fügen Sie sie in einen Browser ein, um ein Authentifizierungsdialogfeld zu öffnen. Wählen Sie Accept aus, um den Service-Prinzipal der CMK-App zu Ihrem Azure-Mandanten hinzuzufügen.

Dialogfeld für Microsoft-Berechtigungsanfragen mit hervorgehobener Akzeptieren-Option.

Zuweisen der CMK-App zu einer Rolle assign-to-role

Navigieren Sie nach Abschluss des Authentifizierungsprozesses zu Ihrem Azure-Schlüsseltresor und wählen Sie Access control in der linken Navigation aus. Wählen Sie von hier aus Add gefolgt von Add role assignment aus.

Das Microsoft Azure-Dashboard mit hervorgehobenen Add und Add role assignment.

Im nächsten Bildschirm werden Sie aufgefordert, eine Rolle für diese Zuweisung auszuwählen. Wählen Sie Key Vault Crypto Service Encryption User aus, bevor Sie auf Next klicken, um fortzufahren.

NOTE
Wenn Sie über die Managed-HSM Key Vault verfügen, müssen Sie die Managed HSM Crypto Service Encryption User Benutzerrolle auswählen.

Das Microsoft Azure-Dashboard mit hervorgehobenem Key Vault Crypto Service Encryption User.

Wählen Sie auf dem nächsten Bildschirm Select members aus, um ein Dialogfeld in der rechten Leiste zu öffnen. Verwenden Sie die Suchleiste, um den Service-Prinzipal für das CMK-Programm zu suchen und ihn aus der Liste auszuwählen. Wenn Sie fertig sind, klicken Sie auf Save.

NOTE
Wenn Sie Ihr Programm in der Liste nicht finden, wurde Ihr Service-Prinzipal in Ihrem Mandanten nicht akzeptiert. Um sicherzustellen, dass Sie über die richtigen Berechtigungen verfügen, wenden Sie sich an Ihren Azure oder Vertreter.

Aktivieren der Konfiguration des Verschlüsselungsschlüssels auf Experience Platform send-to-adobe

Nach der Installation der CMK-App in Azure können Sie Ihre Verschlüsselungsschlüssel-ID an Adobe senden. Wählen Sie in der linken Navigation Keys aus, gefolgt vom Namen des Schlüssels, den Sie senden möchten.

Das Microsoft Azure-Dashboard mit dem hervorgehobenen Keys und dem hervorgehobenen Schlüsselnamen.

Wählen Sie die neueste Version des Schlüssels aus, und seine Detailseite wird angezeigt. Von hier aus können Sie optional die zulässigen Vorgänge für den Schlüssel konfigurieren.

IMPORTANT
Die minimal zulässigen Vorgänge für den Schlüssel sind die Berechtigungen Wrap Key und Unwrap Key . Sie können bei Bedarf Encrypt, Decrypt, Sign und Verify einbeziehen.

Das Feld Schlüsselkennung zeigt die URI-Kennung für den Schlüssel an. Kopieren Sie diesen URI-Wert zur Verwendung im nächsten Schritt.

Die Details zum Microsoft Azure-Dashboard-Schlüssel mit den hervorgehobenen Abschnitten Permitted operations und „URL des Kopierschlüssels“.

Nachdem Sie den Schlüsseltresor-URI erhalten haben, können Sie ihn mit einer POST-Anfrage an den CMK-Konfigurations-Endpunkt senden.

NOTE
Nur der Schlüssel und der Schlüsselname werden bei Adobe gespeichert, nicht die Schlüsselversion.

Anfrage

Eine Beispielanfrage zum Senden des Schlüsseltresor-URI an den CMK-Konfigurationsendpunkt.
code language-shell 
curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2
Eigenschaft Beschreibung
name Ein Name für die Konfiguration. Stellen Sie sicher, dass Sie sich diesen Wert merken, da er erforderlich ist, um den Konfigurationsstatus in einem Schritt zu überprüfen. Bei dem Wert ist die Groß-/Kleinschreibung zu beachten.
type Der Konfigurationstyp. Muss auf BYOK_CONFIG festgelegt werden.
imsOrgId Ihre Organisations-ID. Diese ID muss mit dem Wert übereinstimmen, der unter der x-gw-ims-org-id-Kopfzeile angegeben wird.
configData

Diese Eigenschaft enthält die folgenden Details zur Konfiguration:

  • providerType: Muss auf AZURE_KEYVAULT festgelegt werden.
  • keyVaultKeyIdentifier: Der URI für den Schlüsseltresor, den Sie zuvor kopiert haben.

Antwort

Die erfolgreiche Antwort gibt die Details des Konfigurationsvorgangs zurück.
code language-json 
{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{ORG_ID}",
    "status": "NEW"
  },
  "status": "CREATED"
}

Der Vorgang sollte die Verarbeitung innerhalb weniger Minuten abschließen.

Überprüfen des Konfigurationsstatus check-status

Um den Status der Konfigurationsanfrage zu überprüfen, können Sie eine GET-Anfrage stellen.

Anfrage

Sie müssen den name der Konfiguration, die Sie überprüfen möchten, an den Pfad (config1 im Beispiel unten) anhängen und einen configType-Abfrageparameter, der auf BYOK_CONFIG gesetzt ist, einfügen.

Eine Beispielanfrage zur Überprüfung des Status der Konfigurationsanfrage.
code language-shell 
curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Antwort

Die erfolgreiche Antwort gibt den Status des Auftrags zurück.
code language-json 
{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{ORG_ID}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

Das status-Attribut kann einen von vier Werten mit folgenden Bedeutungen haben:

  1. RUNNING: Überprüft, ob Platform auf den Schlüssel und den Schlüsseltresor zugreifen kann.
  2. UPDATE_EXISTING_RESOURCES: Das System fügt den Schlüsseltresor und den Schlüsselnamen zu den Datenspeichern in allen Sandboxes in Ihrer Organisation hinzu.
  3. COMPLETED: Der Schlüsseltresor und der Schlüsselname wurden erfolgreich zu den Datenspeichern hinzugefügt.
  4. FAILED: Es ist ein Problem aufgetreten, das in erster Linie mit dem Schlüssel, dem Schlüsseltresor oder der Einrichtung der Multi-Mandanten-App-zusammenhängt.

Nächste Schritte

Durch Ausführung der oben genannten Schritte haben Sie CMK für Ihre Organisation erfolgreich aktiviert. Bei von Azure gehosteten Platform-Instanzen werden Daten, die in primäre Datenspeicher aufgenommen werden, jetzt mit dem oder den Schlüssel(n) in Ihrem Azure-Schlüsseltresor ver- und entschlüsselt.

Weitere Informationen zur Datenverschlüsselung in Adobe Experience Platform finden Sie unter Verschlüsselungsdokumentation.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5