Vom Kunden verwaltete Schlüssel in Adobe Experience Platform
In Adobe Experience Platform gespeicherte Daten werden im Ruhezustand mithilfe von Schlüsseln auf Systemebene verschlüsselt. Wenn Sie ein Programm verwenden, das auf Experience Platform aufbaut, können Sie stattdessen eigene Verschlüsselungsschlüssel verwenden, um die Datensicherheit zu verbessern.
Dieses Dokument bietet einen allgemeinen Überblick über den Prozess zur Aktivierung der CMK-Funktion (Customer Managed Keys) in Experience Platform in Azure und AWS sowie über die erforderlichen Informationen zum Durchführen dieser Schritte.
Voraussetzungen
Um CMK zu aktivieren, muss die Hosting-Umgebung Ihrer Plattform (Azure oder AWS) bestimmte Konfigurationsanforderungen erfüllen:
Allgemeine Voraussetzungen
Um den Abschnitt Verschlüsselung in Adobe Experience Platform anzeigen und darauf zugreifen zu können, müssen Sie eine Rolle erstellt und dieser Rolle die Berechtigung Kundenverwalteten Schlüssel verwalten zugewiesen haben. Jeder Benutzer mit der Berechtigung Kundenverwalteten Schlüssel verwalten kann für seine Organisation CMK aktivieren.
Weitere Informationen zur Zuweisung von Rollen und Berechtigungen in Experience Platform finden Sie in der Dokumentation zu Berechtigungen konfigurieren.
Azure-spezifische Voraussetzungen
Konfigurieren Sie für von Azure gehostete Implementierungen Ihren Azure-Schlüsseltresor mit den folgenden Einstellungen:
AWS-spezifische Voraussetzungen
Für von AWS gehostete Implementierungen konfigurieren Sie Ihre AWS-Umgebung wie folgt:
- Stellen Sie sicher, dass Sie über Berechtigungen zum Verwalten von Verschlüsselungsschlüsseln mit AWS Identity and Access Management (IAM) verfügen. Weitere Informationen finden Sie unter IAM-Richtlinien für AWS KMS.
- Einrichten von AWS KMS mit Unterstützung für CMK. Weitere Informationen finden Sie im Handbuch zur AWS KMS-Datenverschlüsselung.
Prozesszusammenfassung process-summary
Vom Kunden verwaltete Schlüssel (CMK) sind über die Adobe-Angebote Healthcare Shield und Privacy and Security Shield verfügbar. Auf Azure wird CMK sowohl für Healthcare Shield als auch für Privacy and Security Shield unterstützt. Auf AWS wird CMK nur für Privacy und Security Shield unterstützt und ist nicht für Healthcare Shield verfügbar. Sobald Ihr Unternehmen eine Lizenz für eines dieser Angebote erworben hat, können Sie den einmaligen Einrichtungsprozess zur Aktivierung von CMK starten.
Der Prozess sieht folgendermaßen aus:
Für Azure azure-process-summary
- Konfigurieren Sie Azure Schlüsseltresor basierend auf den Richtlinien Ihrer Organisation und generieren Sie dann einen , der für Adobe freigegeben wird.
- Richten Sie die CMK-App mit Ihrem Azure-Mandanten entweder über API-Aufrufe oder über die UI ein.
- Senden Sie Ihre Verschlüsselungsschlüssel-ID an Adobe und starten Sie den Aktivierungsprozess für die Funktion, entweder der Benutzeroberfläche mit einem API-Aufruf.
- Überprüfen Sie den Status der Konfiguration, um zu überprüfen, ob CMK aktiviert wurde, entweder in der oder mit einem API-Aufruf.
Sobald der Einrichtungsprozess für die von Azure gehosteten Experience Platform-Instanzen abgeschlossen ist, werden alle Daten in allen Sandboxes, die in Experience Platform integriert sind, mit Ihrer Azure verschlüsselt. Zur Verwendung von CMK nutzen Sie die Microsoft Azure-Funktionen, die Teil des öffentlichen Vorschauprogramms sein können.
Für AWS aws-process-summary
- Richten Sie AWS KMS ein indem Sie einen Verschlüsselungsschlüssel konfigurieren, der für Adobe freigegeben werden soll.
- Befolgen Sie die für AWS spezifischen Anweisungen im UI-Einrichtungshandbuch.
- Überprüfen Sie die Einrichtung, um sicherzustellen, dass Experience Platform-Daten mit dem von AWS gehosteten Schlüssel verschlüsselt werden.
Sobald der Einrichtungsprozess für von AWS gehostete Experience Platform-Instanzen abgeschlossen ist, werden alle Daten aus allen Sandboxes, die in Experience Platform integriert sind, mit Ihrer AWS Key Management Service (KMS)-Konfiguration verschlüsselt. Um CMK in AWS zu verwenden, verwenden Sie den AWS-Schlüsselverwaltungsdienst, um Ihre Verschlüsselungsschlüssel entsprechend den Sicherheitsanforderungen Ihres Unternehmens zu erstellen und zu verwalten.
Auswirkungen der Sperrung des Schlüsselzugriffs revoke-access
Das Widerrufen oder Deaktivieren des Zugriffs auf den Schlüsseltresor, den Schlüssel oder die CMK-App in Azure oder den Verschlüsselungsschlüssel in AWS kann zu erheblichen Unterbrechungen führen, darunter auch zu grundlegenden Änderungen an den Vorgängen Ihrer Experience Platform. Sobald -Schlüssel deaktiviert sind, können Daten in Experience Platform nicht mehr aufgerufen werden und nachgelagerte Vorgänge, die auf diese Daten angewiesen sind, funktionieren nicht mehr. Es ist wichtig, die nachgelagerten Auswirkungen vollständig zu verstehen, bevor Sie Änderungen an Ihren wichtigsten Konfigurationen vornehmen.
Um Experience Platform den Zugriff auf Ihre Daten in Azure zu entziehen, entfernen Sie die mit der Anwendung verknüpfte Benutzerrolle aus dem Schlüsseltresor. Bei AWS können Sie den Schlüssel deaktivieren oder die Richtlinienanweisung aktualisieren. Detaillierte Anweisungen zum AWS-Prozess finden Sie im Abschnitt Sperren von Schlüsseln.
Zeitleisten für die Übertragung propagation-timelines
Nachdem der Schlüsselzugriff aus Ihrem Azure Schlüsseltresor widerrufen wurde, werden die Änderungen wie folgt weitergegeben:
Beispielsweise zeigt das Profil-Dashboard bis zu sieben Tage lang Daten aus seinem Cache an, bevor die Daten ablaufen und aktualisiert werden. Ebenso dauert es genauso lange, den Zugriff auf die Anwendung wieder zu aktivieren, bis die Datenverfügbarkeit in diesen Stores wiederhergestellt ist.
Nächste Schritte
So starten Sie den Prozess:
- Für Azure: Beginnen Sie mit dem Konfigurieren eines Azure -Schlüsseltresors und Generieren eines , der für Adobe freigegeben werden soll.
- Für AWS: Richten Sie AWS KMS ein und stellen Sie sicher, dass die richtigen IAM- und KMS-Konfigurationen vorliegen, bevor Sie mit den Handbüchern zur Benutzeroberfläche oder zur API-Einrichtung fortfahren.