Vom Kunden verwaltete Schlüssel in Adobe Experience Platform

In Adobe Experience Platform gespeicherte Daten werden im Ruhezustand mithilfe von Schlüsseln auf Systemebene verschlüsselt. Wenn Sie ein Programm verwenden, das auf Platform aufbaut, können Sie stattdessen eigene Verschlüsselungsschlüssel verwenden, um die Datensicherheit zu verbessern.

In diesem Dokument wird der Prozess zum Aktivieren der Funktion für kundenverwaltete Schlüssel (CMK) in Platform beschrieben.

Voraussetzungen

Um CMK zu aktivieren, muss die Azure Key Vault muss mit den folgenden Einstellungen konfiguriert werden:

• Bereinigungsschutz aktivieren
• Soft-Löschen aktivieren
• Zugriff konfigurieren mit Azure rollenbasierte Zugriffssteuerung

Prozesszusammenfassung

CMK ist Teil des Healthcare Shield- und des Privacy and Security Shield-Angebots von Adobe. Nachdem Ihr Unternehmen eine Lizenz für eines dieser Angebote erworben hat, können Sie einen einmaligen Prozess zur Einrichtung der Funktion starten.

Der Prozess sieht folgendermaßen aus:

1. Konfigurieren Sie einen Azure Schlüsseltresor auf der Grundlage der Richtlinien Ihrer Organisation und generieren Sie dann einen Verschlüsselungsschlüssel, der letztendlich an Adobe weitergegeben wird.
2. Verwenden Sie API-Aufrufe zum Einrichten der CMK-App mit Ihrem Azure-Mandanten.
3. Verwenden Sie API-Aufrufe, um Ihre Verschlüsselungsschlüssel-ID an Adobe zu senden, und starten Sie den Aktivierungsprozess für die Funktion.
4. Prüfen Sie den Status der Konfiguration, um zu überprüfen, ob CMK aktiviert wurde.

Sobald der Einrichtungsprozess abgeschlossen ist, werden alle Daten aus allen Sandboxes, die in Platform integriert sind, mit Ihrer Azure-Schlüsseleinrichtung verschlüsselt. Zur Verwendung von CMK nutzen Sie die Microsoft Azure-Funktionen, die Teil des öffentlichen Vorschauprogramms sein können.

Konfigurieren eines Azure-Schlüsseltresors

CMK unterstützt nur Schlüssel aus einem Microsoft Azure-Schlüsseltresor. Zunächst müssen Sie mit Azure arbeiten, um ein neues Unternehmenskonto zu erstellen, oder Sie verwenden ein vorhandenes Unternehmenskonto und führen die folgenden Schritte aus, um den Schlüsseltresor zu erstellen.

Melden Sie sich beim Azure-Portal an und suchen Sie mithilfe der Suchleiste unter der Liste der Dienste nach Key vaults.

Die Key vaults-Seite wird angezeigt, nachdem Sie den Dienst ausgewählt haben. Klicken Sie von hier aus auf Create.

Füllen Sie mithilfe des bereitgestellten Formulars die grundlegenden Details für den Schlüsseltresor aus, einschließlich eines Namens und einer zugewiesenen Ressourcengruppe.

Fahren Sie von hier aus mit dem Workflow zur Erstellung des Schlüsseltresors fort und konfigurieren Sie die verschiedenen Optionen entsprechend den Richtlinien Ihrer Organisation.

Wenn Sie beim Schritt Review + create ankommen, können Sie die Details des Schlüsseltresors während der Validierung überprüfen. Nachdem die Validierung erfolgreich abgeschlossen wurde, klicken Sie auf Create, um den Prozess abzuschließen.

Konfigurieren von Netzwerkoptionen

Wenn Ihr Schlüsseltresor so konfiguriert ist, dass der öffentliche Zugriff auf bestimmte virtuelle Netzwerke eingeschränkt oder der öffentliche Zugriff vollständig deaktiviert ist, müssen Sie Microsoft eine Firewall-Ausnahme gewähren.

Wählen Sie Networking in der linken Navigation aus. Markieren Sie unter Firewalls and virtual networks das Kontrollkästchen Allow trusted Microsoft services to bypass this firewall und klicken Sie dann auf Apply.

Generieren eines Schlüssels

Nachdem Sie einen Schlüsseltresor erstellt haben, können Sie einen neuen Schlüssel generieren. Navigieren Sie zur Registerkarte Keys und wählen Sie Generate/Import aus.

Verwenden Sie das bereitgestellte Formular, um einen Namen für den Schlüssel anzugeben, und wählen Sie RSA für den Schlüsseltyp aus. Die Variable RSA key size darf nicht kleiner sein als 3072 Bit, wie von Cosmos DB vorgeschrieben. Azure Data Lake Storage ist auch mit RSA 3027 kompatibel.

Verwenden Sie die restlichen Steuerelemente, um den Schlüssel zu konfigurieren, den Sie erstellen oder importieren möchten. Wenn Sie fertig sind, wählen Sie Create aus.

Der konfigurierte Schlüssel wird in der Liste der Schlüssel für den Tresor angezeigt.

Einrichten der CMK-App

Nachdem Sie Ihren Schlüsseltresor konfiguriert haben, müssen Sie sich für das CMK-Programm registrieren, die sich mit Ihrem Azure-Mandanten verbindet.

Erste Schritte

Zum Registrieren des CMK-Programms müssen Sie Aufrufe an Platform-APIs durchführen. Weitere Informationen dazu, wie Sie die erforderlichen Authentifizierungskopfzeilen für diese Aufrufe erfassen, finden Sie im Handbuch zur Platform-API-Authentifizierung.

Während das Authentifizierungshandbuch Anweisungen zum Generieren Ihres eigenen eindeutigen Werts für die erforderliche x-api-key-Anfragekopfzeile enthält, verwenden alle API-Vorgänge in diesem Handbuch stattdessen den statischen Wert acp_provisioning. Sie müssen allerdings weiterhin eigene Werte für {ACCESS_TOKEN} und {ORG_ID} angeben.

In allen in diesem Handbuch angezeigten API-Aufrufen: platform.adobe.io wird als Stammpfad verwendet, der standardmäßig auf den VA7-Bereich verweist. Wenn Ihr Unternehmen eine andere Region verwendet, platform muss ein Bindestrich und der Ihrer Organisation zugewiesene Regions-Code folgen: nld2 für NLD2 oder aus5 für AUS5 (z. B.: platform-aus5.adobe.io). Wenn Sie die Region Ihres Unternehmens nicht kennen, wenden Sie sich an Ihren Systemadministrator.

Abrufen einer Authentifizierungs-URL

Um den Registrierungsprozess zu starten, stellen Sie eine GET-Anfrage an den App-Registrierungsendpunkt, um die erforderliche Authentifizierungs-URL für Ihre Organisation abzurufen.

Anfrage

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Antwort

Eine erfolgreiche Antwort gibt eine applicationRedirectUrl-Eigenschaft zurück, die die Authentifizierungs-URL enthält.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Kopieren Sie die applicationRedirectUrl-Adresse und fügen Sie sie in einen Browser ein, um ein Authentifizierungsdialogfeld zu öffnen. Wählen Sie Accept aus, um den Service-Prinzipal der CMK-App zu Ihrem Azure-Mandanten hinzuzufügen.

Zuweisen der CMK-App zu einer Rolle

Navigieren Sie nach Abschluss des Authentifizierungsprozesses zu Ihrem Azure-Schlüsseltresor und wählen Sie Access control in der linken Navigation aus. Wählen Sie von hier aus Add gefolgt von Add role assignment aus.

Im nächsten Bildschirm werden Sie aufgefordert, eine Rolle für diese Zuweisung auszuwählen. Wählen Sie Key Vault Crypto Service Encryption User aus, bevor Sie auf Next klicken, um fortzufahren.

Wählen Sie auf dem nächsten Bildschirm Select members aus, um ein Dialogfeld in der rechten Leiste zu öffnen. Verwenden Sie die Suchleiste, um den Service-Prinzipal für das CMK-Programm zu suchen und ihn aus der Liste auszuwählen. Wenn Sie fertig sind, klicken Sie auf Save.

Aktivieren der Konfiguration des Verschlüsselungsschlüssels auf Experience Platform

Nach der Installation der CMK-App in Azure können Sie Ihre Verschlüsselungsschlüssel-ID an Adobe senden. Wählen Sie in der linken Navigation Keys aus, gefolgt vom Namen des Schlüssels, den Sie senden möchten.

Wählen Sie die neueste Version des Schlüssels aus, und seine Detailseite wird angezeigt. Von hier aus können Sie optional die zulässigen Vorgänge für den Schlüssel konfigurieren. Dem Schlüssel müssen mindestens die Berechtigungen Wrap Key und Unwrap Key gewährt werden.

Das Feld Schlüsselkennung zeigt die URI-Kennung für den Schlüssel an. Kopieren Sie diesen URI-Wert zur Verwendung im nächsten Schritt.

Nachdem Sie den Schlüsseltresor-URI erhalten haben, können Sie ihn mit einer POST-Anfrage an den CMK-Konfigurations-Endpunkt senden.

Anfrage

curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'

Antwort

Eine erfolgreiche Antwort gibt die Details des angegebenen Konfigurationsvorgangs zurück.

{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{IMS_ORG}",
    "status": "NEW"
  },
  "status": "CREATED"
}

Der Vorgang sollte die Verarbeitung innerhalb weniger Minuten abschließen.

Überprüfen des Konfigurationsstatus

Um den Status der Konfigurationsanfrage zu überprüfen, können Sie eine GET-Anfrage stellen.

Anfrage

Sie müssen den name der Konfiguration, die Sie überprüfen möchten, an den Pfad (config1 im Beispiel unten) anhängen und einen configType-Abfrageparameter, der auf BYOK_CONFIG gesetzt ist, einfügen.

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Antwort

Eine erfolgreiche Antwort gibt den Status des Vorgangs zurück.

{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{IMS_ORG}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

Das status-Attribut kann einen von vier Werten mit folgenden Bedeutungen haben:

1. RUNNING: Überprüft, ob Platform Zugriff auf den Schlüssel und den Schlüsseltresor hat.
2. UPDATE_EXISTING_RESOURCES: Das System fügt den Schlüsseltresor und den Schlüsselnamen zu den Datenspeichern in allen Sandboxes in Ihrer Organisation hinzu.
3. COMPLETED: Der Schlüsseltresor und der Schlüsselname wurden den Datenspeichern hinzugefügt.
4. FAILED: Es ist ein Problem aufgetreten, das in erster Linie mit dem Schlüssel, dem Schlüsseltresor oder der Einrichtung der Multi-Mandanten-App-zusammenhängt.

Nächste Schritte

Durch Ausführung der oben genannten Schritte haben Sie CMK für Ihre Organisation erfolgreich aktiviert. Daten, die in Platform aufgenommen werden, werden jetzt mit dem oder den Schlüssel(n) in Ihrem Azure-Schlüsseltresor ver- und entschlüsselt. Wenn Sie den Platform-Zugriff auf Ihre Daten sperren möchten, können Sie die mit dem Programm verknüpfte Benutzerrolle aus dem Schlüsseltresor in Azure entfernen.

Nachdem Sie den Zugriff auf das Programm deaktiviert haben, kann es einige Minuten bis 24 Stunden dauern, bis die Daten nicht mehr in Platform verfügbar sind. Die gleiche Zeitverzögerung gilt für Daten, die erneut verfügbar werden, wenn der Zugriff auf das Programm erneut aktiviert wird.

Ressourcen für Business.Adobe.com