DokumentationExperience PlatformÜbersicht zu Experience Platform

Konfigurieren eines Azure Schlüsseltresors für kundenverwaltete Schlüssel

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Themen:

Erstellt für:

  • Entwickler

Kundenseitig verwaltete Schlüssel (CMK) unterstützen Schlüssel von Microsoft Azure Key Vaults und AWS Key Management Service (KMS). Wenn Ihre Implementierung auf Azure gehostet wird, führen Sie die folgenden Schritte aus, um einen Schlüsseltresor zu erstellen. Informationen zu von AWS gehosteten Implementierungen finden Sie im AWS KMS-Konfigurationshandbuch.

IMPORTANT
Nur die Ebenen Standard, Premium und Managed HSM für Azure Schlüsseltresor werden unterstützt. Azure Dedicated HSM und Azure Payments HSM werden nicht unterstützt. Siehe die Azure Dokumentation für weitere Informationen über angebotene Schlüsselverwaltungsdienste.
NOTE
Die folgende Dokumentation behandelt nur die grundlegenden Schritte zum Erstellen des Schlüsseltresors. Außerhalb dieser Anleitung sollten Sie den Schlüsseltresor gemäß den Richtlinien Ihrer Organisation konfigurieren.

Melden Sie sich beim Azure-Portal an und suchen Sie mithilfe der Suchleiste unter der Liste der Dienste nach Key vaults.

Die Suchfunktion in Microsoft Azure mit hervorgehobenen Key vaults in den Suchergebnissen.

Die Key vaults-Seite wird angezeigt, nachdem Sie den Dienst ausgewählt haben. Klicken Sie von hier aus auf Create.

Das Key vaults-Dashboard in Microsoft Azure mit hervorgehobener Create.

Füllen Sie mithilfe des bereitgestellten Formulars die grundlegenden Details für den Schlüsseltresor aus, einschließlich eines Namens und einer zugewiesenen Ressourcengruppe.

WARNING
Die meisten Optionen können als Standardwerte beibehalten werden. Stellen Sie sicher, dass Sie die Schutzoptionen für Soft-Löschen und Bereinigen aktivieren. Wenn Sie diese Funktionen nicht aktivieren, riskieren Sie, den Zugriff auf Ihre Daten zu verlieren, wenn der Schlüsseltresor gelöscht wird.
Der Microsoft Azure Create a Key Vault-Workflow mit hervorgehobenem Schutz für Soft-Löschen und Bereinigen.

Fahren Sie von hier aus mit dem Workflow zur Erstellung des Schlüsseltresors fort und konfigurieren Sie die verschiedenen Optionen entsprechend den Richtlinien Ihrer Organisation.

Wenn Sie beim Review + create Schritt ankommen, können Sie die Details des Schlüsseltresors während der Validierung überprüfen. Nachdem die Validierung erfolgreich abgeschlossen wurde, klicken Sie auf Create, um den Prozess abzuschließen.

Die Microsoft Azure-Schlüsseltresore „Überprüfen und Erstellen“ mit hervorgehobener Option „Erstellen“.

Zugriff konfigurieren configure-access

Aktivieren Sie als Nächstes die rollenbasierte Zugriffssteuerung für Azure für Ihren Schlüsseltresor. Wählen Sie Access configuration im Settings Abschnitt des linken Navigationsbereichs und dann Azure role-based access control aus, um die Einstellung zu aktivieren. Dieser Schritt ist wichtig, da die CMK-App später mit einer Azure-Rolle verknüpft werden muss. Die Zuweisung einer Rolle ist in den Workflows API und UI dokumentiert.

Das Microsoft Azure-Dashboard mit hervorgehobenen Access configuration und Azure role-based access control.

Konfigurieren von Netzwerkoptionen configure-network-options

Wenn Ihr Schlüsseltresor so konfiguriert ist, dass der öffentliche Zugriff auf bestimmte virtuelle Netzwerke eingeschränkt oder der öffentliche Zugriff vollständig deaktiviert wird, müssen Sie Microsoft eine Firewall-Ausnahme gewähren.

Wählen Sie Networking in der linken Navigation aus. Markieren Sie unter Firewalls and virtual networks das Kontrollkästchen Allow trusted Microsoft services to bypass this firewall und klicken Sie dann auf Apply.

NOTE
Wenn Ihr Schlüsseltresor eingeschränkten Netzwerkzugriff verwendet, empfiehlt Adobe, die folgende statische IP-Adresse hinzuzufügen: 20.88.123.53. Durch Hinzufügen dieser IP-Adresse können Adobe-Services die Konnektivität effektiver überwachen und plattforminterne Warnhinweise bereitstellen, wenn Zugriffsprobleme erkannt werden.
Weitere Informationen dazu, wann die IP-Adresse von Adobe auf die Zulassungsliste gesetzt wird, wie Warnhinweise funktionieren und wie auf Benachrichtigungen zu wichtigen Zugriffsfehlern reagiert werden kann, finden Sie unter Konfigurieren von Warnhinweisen und IP-Zugriff für Azure CMK.
Wenn Ihr Schlüsseltresor bereits so konfiguriert ist, dass er den Zugriff auf ein öffentliches Netzwerk zulässt, sind keine weiteren Maßnahmen erforderlich.

Die Registerkarte Networking von Microsoft Azure mit Hervorhebung von Networking und Allow trusted Microsoft surfaces to bypass this firewall Ausnahme.

Generieren eines Schlüssels generate-a-key

Nachdem Sie einen Schlüsseltresor erstellt haben, können Sie einen neuen Schlüssel generieren. Navigieren Sie zur Registerkarte Keys und wählen Sie Generate/Import aus.

Die Registerkarte Keys von Azure mit hervorgehobener Generate import.

Geben Sie in dem bereitgestellten Formular einen Namen für den Schlüssel ein und wählen Sie entweder RSA oder RSA-HSM für den Schlüsseltyp aus. Bei Azure gehosteten Implementierungen muss der RSA key size mindestens 3072 Bit betragen, wie für Azure Cosmos DB erforderlich. Azure Data Lake Storage ist auch mit RSA 3027 kompatibel.

NOTE
Merken Sie sich den Namen, den Sie für den Schlüssel angeben, da er erforderlich ist, um den Schlüssel an Adobe zu senden.

Verwenden Sie die restlichen Steuerelemente, um den Schlüssel zu konfigurieren, den Sie erstellen oder importieren möchten. Wenn Sie fertig sind, wählen Sie Create aus.

Das Create a key-Dashboard mit hervorgehobenen 3072 Bits.

Der konfigurierte Schlüssel wird in der Liste der Schlüssel für den Tresor angezeigt.

Der Keys Arbeitsbereich mit hervorgehobenem Schlüsselnamen.

Nächste Schritte

Um den einmaligen Prozess zum Einrichten der Funktion für kundenseitig verwaltete Schlüssel fortzusetzen, folgen Sie den Einrichtungshandbüchern für die Hosting-Umgebung Ihrer Plattform:

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5