DokumentationExperience PlatformÜbersicht zu Experience Platform

Einrichten und Konfigurieren von kundenverwalteten Schlüsseln für Azure mithilfe der Experience Platform-Benutzeroberfläche

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Themen:

Erstellt für:

  • Entwickler

In diesem Dokument werden die Azure-spezifischen Anweisungen zum Aktivieren der CMK-Funktion (Customer Managed Keys) in Experience Platform mithilfe der Benutzeroberfläche behandelt. Spezifische Anweisungen für AWS finden Sie im AWS-Setup-Handbuch.

Anweisungen zum Abschließen dieses Prozesses für Azure-gehostete Experience Platform-Instanzen mithilfe der API finden Sie im Dokument API CMK-Einrichtung.

Voraussetzungen

Um den Abschnitt Verschlüsselung in Adobe Experience Platform anzuzeigen, müssen Sie eine Rolle erstellt und dieser Rolle die Berechtigung Kundenverwalteten Schlüssel verwalten zugewiesen haben. Jeder Benutzer, der über die Berechtigung Kundenverwalteten Schlüssel verwalten verfügt, kann für seine Organisation CMK aktivieren.

Weitere Informationen zur Zuweisung von Rollen und Berechtigungen in Experience Platform finden Sie in der Dokumentation zu Berechtigungen konfigurieren.

Um CMK zu aktivierenAzure muss Ihr Schlüsseltresor mit ​ Einstellungen konfiguriert werden:

Einrichten der CMK-App register-app

Nachdem Sie Ihren Schlüsseltresor konfiguriert haben, müssen Sie das CMK-Programm registrieren, das sich mit Ihrem Azure-Mandanten verbindet.

Erste Schritte

Um das Dashboard Verschlüsselungskonfigurationen anzuzeigen, wählen Sie Verschlüsselung unter der Überschrift Administration in der linken Navigationsseitenleiste aus.

Das Dashboard für die Verschlüsselungskonfiguration mit hervorgehobener Karte „Verschlüsselung“ und „Kundenseitig verwaltete Schlüssel“.

Wählen Sie Konfigurieren aus, um die Ansicht Konfiguration kundenverwalteter Schlüssel zu öffnen. Dieser Arbeitsbereich enthält alle erforderlichen Werte, um die unten beschriebenen Schritte auszuführen und die Integration mit Ihrem Azure-Schlüsseltresor durchzuführen.

Authentifizierungs-URL kopieren copy-authentication-url

Um den Registrierungsprozess zu starten, kopieren Sie die Anwendungsauthentifizierungs-URL für Ihre Organisation aus der Konfiguration Kundenseitig verwaltete Schlüssel und fügen Sie sie in die Key Vault Crypto Service Encryption User Ihrer Azure ein. Details zum Zuweisen einer Rolle finden Sie im nächsten Abschnitt.

Wählen Sie das Kopiersymbol ( Das Kopiersymbol. ) durch die Anwendungsauthentifizierungs-URL.

Die Ansicht Konfiguration von kundenseitig verwalteten Schlüsseln mit hervorgehobenem Abschnitt „URL für die Anwendungsauthentifizierung“

Kopieren Sie die Anwendungsauthentifizierungs-URL und fügen Sie sie in einen Browser ein, um ein Authentifizierungsdialogfeld zu öffnen. Wählen Sie Accept aus, um den Service-Prinzipal der CMK-App zu Ihrem Azure hinzuzufügen. Durch Bestätigen der Authentifizierung werden Sie zur Experience Cloud-Landingpage weitergeleitet.

Dialogfeld für Microsoft-Berechtigungsanfragen mit hervorgehobener Akzeptieren-Option.

IMPORTANT
Wenn Sie über mehrere Microsoft Azure verfügen, können Sie Ihre Experience Platform-Instanz möglicherweise mit dem falschen Schlüsseltresor verbinden. In diesem Fall müssen Sie den common Abschnitt des URL-Namens für die Anwendungsauthentifizierung durch die CMK-Verzeichnis-ID ersetzen.
Kopieren Sie die CMK-Verzeichnis-ID aus der Seite „Portaleinstellungen“, „Verzeichnisse“ und „Abonnements“ der Microsoft Azure-Anwendung
​ Die Seite "Microsoft Azure-Anwendungsportaleinstellungen“, „Verzeichnisse und Abonnements“ mit hervorgehobener Verzeichnis-ID.
Fügen Sie es als Nächstes in die Adressleiste Ihres Browsers ein.
Eine Google-Browser-Seite mit hervorgehobenem Abschnitt „Allgemein“ der Anwendungsauthentifizierungs-URL.

Zuweisen der CMK-App zu einer Rolle assign-to-role

Navigieren Sie nach Abschluss des Authentifizierungsprozesses zu Ihrem Azure-Schlüsseltresor und wählen Sie Access control in der linken Navigation aus. Wählen Sie von hier aus Add gefolgt von Add role assignment aus.

Das Microsoft Azure-Dashboard mit hervorgehobenen Add und Add role assignment.

Im nächsten Bildschirm werden Sie aufgefordert, eine Rolle für diese Zuweisung auszuwählen. Wählen Sie Key Vault Crypto Service Encryption User aus, bevor Sie auf Next klicken, um fortzufahren.

NOTE
Wenn Sie über die Managed-HSM Key Vault verfügen, müssen Sie die Managed HSM Crypto Service Encryption User Benutzerrolle auswählen.

Das Microsoft Azure-Dashboard mit hervorgehobenem Key Vault Crypto Service Encryption User.

Wählen Sie auf dem nächsten Bildschirm Select members aus, um ein Dialogfeld in der rechten Leiste zu öffnen. Verwenden Sie die Suchleiste, um den Service-Prinzipal für das CMK-Programm zu suchen und ihn aus der Liste auszuwählen. Wenn Sie fertig sind, klicken Sie auf Save.

NOTE
Wenn Sie Ihr Programm in der Liste nicht finden, wurde Ihr Service-Prinzipal in Ihrem Mandanten nicht akzeptiert. Um sicherzustellen, dass Sie über die richtigen Berechtigungen verfügen, wenden Sie sich an Ihren Azure oder Vertreter.

Sie können die Anwendung überprüfen, indem Sie die Anwendungs-ID in der Ansicht Konfiguration von kundenseitig verwalteten Schlüsseln mit den Application ID in der Microsoft Azure Anwendungsübersicht vergleichen.

Die Konfiguration für kundenseitig verwaltete Schlüssel mit der hervorgehobenen Anwendungs-ID.

Alle Details, die zur Überprüfung der Azure-Tools erforderlich sind, sind in der Experience Platform-Benutzeroberfläche enthalten. Diese Granularität wird bereitgestellt, da viele Benutzer andere Azure-Tools verwenden möchten, um ihre Fähigkeit zu verbessern, diese Anwendungen beim Zugriff auf ihren Schlüsseltresor zu überwachen und zu protokollieren. Das Verständnis dieser Kennungen ist für diesen Zweck und für den Zugriff der Adobe-Services auf den Schlüssel von entscheidender Bedeutung.

Aktivieren der Konfiguration des Verschlüsselungsschlüssels auf Experience Platform send-to-adobe

Nach der Installation der CMK-App in Azure können Sie Ihre Verschlüsselungsschlüssel-ID an Adobe senden. Wählen Sie in der linken Navigation Keys aus, gefolgt vom Namen des Schlüssels, den Sie senden möchten.

Das Microsoft Azure-Dashboard mit dem hervorgehobenen Keys und dem hervorgehobenen Schlüsselnamen.

Wählen Sie die neueste Version des Schlüssels aus, und seine Detailseite wird angezeigt. Von hier aus können Sie optional die zulässigen Vorgänge für den Schlüssel konfigurieren.

IMPORTANT
Die minimal zulässigen Vorgänge für den Schlüssel sind die Berechtigungen Wrap Key und Unwrap Key . Sie können bei Bedarf Encrypt, Decrypt, Sign und Verify einbeziehen.

Das Feld Schlüsselkennung zeigt die URI-Kennung für den Schlüssel an. Kopieren Sie diesen URI-Wert zur Verwendung im nächsten Schritt.

Die Details zum Microsoft Azure-Dashboard-Schlüssel mit den hervorgehobenen Abschnitten Permitted operations und „URL des Kopierschlüssels“.

Nachdem Sie die Key vault URI erhalten haben, kehren Sie zur Ansicht Konfiguration von kundenseitig verwalteten Schlüsseln zurück und geben Sie einen beschreibenden Konfigurationsnamen ein. Fügen Sie als Nächstes die Key Identifier aus der Detailseite Azure-Schlüssel zur Schlüsseltresorschlüsselkennung“ hinzu wählen Sie Speichern.

Die Konfiguration für kundenseitig verwaltete Schlüssel mit den hervorgehobenen Abschnitten Konfigurationsname und Schlüsseltresorschlüsselkennung.

Sie gelangen zurück zum Dashboard der Verschlüsselungskonfigurationen. Der Status der Konfiguration Kundenseitig verwaltete Schlüssel wird als "" ​.

Das Dashboard Verschlüsselungskonfigurationen mit hervorgehobener Verarbeitung auf der Karte Kundenseitig verwaltete Schlüssel.

Überprüfen des Konfigurationsstatus check-status

Lassen Sie der Verarbeitung viel Zeit. Um den Status der Konfiguration zu überprüfen, kehren Sie zur Konfiguration Kundenseitig verwaltete Schlüssel zurück und scrollen Sie nach unten zum Konfigurationsstatus. Die Fortschrittsleiste wurde auf Schritt eins von drei erweitert und erklärt, dass das System überprüft, ob Experience Platform Zugriff auf den Schlüssel und den Schlüsseltresor hat.

Es gibt vier potenzielle Status der CMK-Konfiguration. Diese sind wie folgt:

  • Schritt 1: Überprüft, ob Experience Platform Zugriff auf den Schlüssel und den Schlüsseltresor hat.
  • Schritt 2: Der Schlüsseltresor und der Schlüsselname werden derzeit zu allen Datenspeichern in Ihrer Organisation hinzugefügt.
  • Schritt 3: Der Schlüsseltresor und der Schlüsselname wurden erfolgreich zu den Datenspeichern hinzugefügt.
  • FAILED: Es ist ein Problem aufgetreten, das in erster Linie mit dem Schlüssel, dem Schlüsseltresor oder der Einrichtung der Multi-Mandanten-App-zusammenhängt.

Nächste Schritte

Durch Abschluss der oben genannten Schritte haben Sie CMK für Ihre von Azure gehostete Organisation erfolgreich aktiviert. Daten, die in primäre Datenspeicher aufgenommen werden, werden jetzt mit dem oder den Schlüssel(n) in Ihrem Azure-Schlüsseltresor ver- und entschlüsselt.

Nachdem Sie CMK für Ihre von Azure gehostete Organisation aktiviert haben, überwachen Sie die Schlüsselverwendung, implementieren Sie eine Schlüsselrotationsrichtlinie für erhöhte Sicherheit und stellen Sie die Einhaltung der Richtlinien Ihrer Organisation sicher.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5