Claves gestionadas por el cliente en Adobe Experience Platform

Los datos almacenados en Adobe Experience Platform se cifran en reposo mediante claves a nivel de sistema. Si utiliza una aplicación creada sobre Platform, puede optar por utilizar sus propias claves de cifrado, lo que le otorga un bueno control sobre la seguridad de los datos.

Este documento cubre el proceso para habilitar la función de claves gestionadas por el cliente (CMK) en Platform.

Requisitos previos

Para habilitar CMK, su Azure Key Vault debe configurarse con la siguiente configuración:

Resumen del proceso

CMK está incluido en el Escudo de la Salud y en las ofertas del Escudo de la privacidad y la seguridad del Adobe. Una vez que su organización haya adquirido una licencia para una de estas ofertas, puede iniciar un proceso único para configurar la función.

ADVERTENCIA

Después de configurar CMK, no puede revertir a claves administradas por el sistema. Usted es responsable de administrar sus claves de forma segura y de proporcionar acceso a su aplicación Key Vault, Key y CMK dentro de Azure para evitar perder acceso a sus datos.

El proceso es el siguiente:

  1. Configure un Azure Key Vault en función de las políticas de su organización, generar una clave de cifrado que en última instancia se compartirá con Adobe.
  2. Uso de llamadas de API para configuración de la aplicación CMK con su Azure inquilino.
  3. Uso de llamadas de API para enviar su ID de clave de cifrado a Adobe e inicie el proceso de habilitación de la función.
  4. Comprobar el estado de la configuración para verificar si se ha habilitado CMK.

Una vez completado el proceso de configuración, todos los datos introducidos en Platform en todos los entornos limitados se cifrarán con su Azure configuración de claves. Para utilizar CMK, aprovechará Microsoft Azure que pueden formar parte de sus programa de vista previa pública.

Configure un Azure Key Vault

CMK solo admite claves de un Microsoft Azure Key Vault. Para empezar, debe trabajar con Azure para crear una nueva cuenta de empresa, o utilice una cuenta de empresa existente y siga los pasos a continuación para crear Key Vault.

IMPORTANTE

Solo los niveles de servicio Premium y Standard para Azure Se admite Key Vault. Azure Managed HSM, Azure Dedicated HSM y Azure Payments HSM no son compatibles. Consulte la Azure documentación para obtener más información sobre los servicios de administración clave ofrecidos.

NOTA

La siguiente documentación solo cubre los pasos básicos para crear la bóveda de claves. Fuera de esta guía, debe configurar el almacén de claves según las políticas de su organización.

Inicie sesión en la Azure portal y utilice la barra de búsqueda para localizar Key vaults en la lista de servicios.

Buscar y seleccionar bóvedas clave

La variable Key vaults aparece después de seleccionar el servicio. Desde aquí, seleccione Create.

Crear almacén de claves

Mediante el formulario proporcionado, rellene los detalles básicos del almacén de claves, incluidos un nombre y un grupo de recursos asignado.

ADVERTENCIA

Mientras que la mayoría de las opciones se pueden dejar como valores predeterminados, asegúrese de habilitar las opciones de protección de eliminación y depuración de software. Si no activa estas funciones, puede correr el riesgo de perder el acceso a los datos si se elimina el almacén de claves.

Habilitar protección de depuración

A partir de aquí, continúe con el flujo de trabajo de creación de bóvedas de claves y configure las diferentes opciones según las políticas de su organización.

Una vez que llegue al Review + create , puede revisar los detalles del almacén de claves mientras pasa por la validación. Una vez aprobada la validación, seleccione Create para completar el proceso.

Configuración básica del almacén de claves

Configurar las opciones de red

Si el almacén de claves está configurado para restringir el acceso público a ciertas redes virtuales o deshabilitar el acceso público por completo, debe conceder a Microsoft una excepción de firewall.

Select Networking en el panel de navegación izquierdo. En Firewalls and virtual networks, seleccione la casilla de verificación Allow trusted Microsoft services to bypass this firewall y, a continuación, seleccione Apply.

Configuración básica del almacén de claves

Generar una clave

Una vez creado un almacén de claves, puede generar una clave nueva. Vaya a la Keys y seleccione Generate/Import.

Generar una clave

Utilice el formulario proporcionado para proporcionar un nombre para la clave y seleccione RSA para el tipo de clave. Como mínimo, la variable RSA key size debe ser 3072 bits requeridos por Cosmos DB. Azure Data Lake Storage también es compatible con RSA 3027.

NOTA

Recuerde el nombre que proporcione para la clave, ya que se utilizará en un paso posterior cuando envío de la clave al Adobe.

Utilice los controles restantes para configurar la clave que desee generar o importar. Cuando termine, seleccione Create.

Configurar clave

La clave configurada aparece en la lista de claves del almacén.

Clave añadida

Configuración de la aplicación CMK

Una vez que tenga configurado el almacén de claves, el siguiente paso es registrarse en la aplicación CMK que se vinculará a su Azure inquilino.

Primeros pasos

El registro de la aplicación CMK requiere que realice llamadas a las API de Platform. Para obtener más información sobre cómo recopilar los encabezados de autenticación necesarios para realizar estas llamadas, consulte la Guía de autenticación de API de plataforma.

Mientras que la guía de autenticación proporciona instrucciones sobre cómo generar su propio valor único para el x-api-key encabezado de solicitud, todas las operaciones de API de esta guía utilizan el valor estático acp_provisioning en su lugar. Debe proporcionar sus propios valores para {ACCESS_TOKEN} y {ORG_ID}, sin embargo.

En todas las llamadas de API que se muestran en esta guía, platform.adobe.io se usa como ruta raíz, que toma como valor predeterminado la región de VA7. Si su organización utiliza una región diferente, platform debe ir seguido de un guión y del código de región asignado a su organización: nld2 para NLD2 o aus5 para AUS5 (por ejemplo: platform-aus5.adobe.io). Si no conoce la región de su organización, póngase en contacto con el administrador del sistema.

Buscar una URL de autenticación

Para iniciar el proceso de registro, realice una solicitud de GET al extremo de registro de la aplicación para recuperar la URL de autenticación necesaria para su organización.

Solicitud

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Respuesta

Una respuesta correcta devuelve un valor applicationRedirectUrl , que contiene la dirección URL de autenticación.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Copie y pegue el applicationRedirectUrl en un navegador para abrir un cuadro de diálogo de autenticación. Select Accept para agregar la entidad de seguridad del servicio de aplicaciones CMK al Azure inquilino.

Aceptar solicitud de permiso

Asignar la aplicación CMK a una función

Después de completar el proceso de autenticación, vuelva a su Azure Key Vault y seleccione Access control en el panel de navegación izquierdo. Desde aquí, seleccione Add seguido de Add role assignment.

Agregar asignación de funciones

La siguiente pantalla le pedirá que elija una función para esta asignación. Select Key Vault Crypto Service Encryption User antes de seleccionar Next para continuar.

Seleccionar función

En la siguiente pantalla, seleccione Select members para abrir un cuadro de diálogo en el carril derecho. Utilice la barra de búsqueda para localizar la entidad de seguridad de servicio de la aplicación CMK y selecciónela en la lista. Cuando termine, seleccione Save.

NOTA

Si no encuentra la aplicación en la lista, la entidad de seguridad del servicio no se ha aceptado en el inquilino. Trabaje con su Azure administrador o representante para asegurarse de que dispone de los privilegios correctos.

Habilitar la configuración de clave de cifrado en el Experience Platform

Después de instalar la aplicación CMK en Azure, puede enviar el identificador de la clave de cifrado a Adobe. Select Keys en el panel de navegación izquierdo, seguido del nombre de la clave que desea enviar.

Seleccionar clave

Seleccione la última versión de la clave y aparecerá su página de detalles. Desde aquí puede configurar opcionalmente las operaciones permitidas para la clave. Como mínimo, se debe conceder la clave Wrap Key y Unwrap Key permisos.

La variable Identificador de clave muestra el identificador de URI de la clave. Copie este valor de URI para utilizarlo en el siguiente paso.

Copiar URL de clave

Una vez obtenido el URI de almacén de claves, puede enviarlo mediante una solicitud de POST al extremo de configuración CMK.

NOTA

Solo el almacén de claves y el nombre de clave se almacenan con Adobe, no con la versión de clave.

Solicitud

curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
Propiedad Descripción
name Un nombre para la configuración. Asegúrese de recordar este valor, ya que será necesario para comprobar el estado de la configuración en una paso posterior. El valor distingue entre mayúsculas y minúsculas.
type El tipo de configuración. Debe definirse en BYOK_CONFIG.
imsOrgId Su ID de la organización IMS. Debe ser el mismo valor que se proporciona en la variable x-gw-ims-org-id encabezado.
configData Contiene los siguientes detalles sobre la configuración:
  • providerType: Debe definirse en AZURE_KEYVAULT.
  • keyVaultKeyIdentifier: El URI de almacén de claves que ha copiado previous.

Respuesta

Una respuesta correcta devuelve los detalles del trabajo de configuración.

{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{IMS_ORG}",
    "status": "NEW"
  },
  "status": "CREATED"
}

El trabajo debe completar el procesamiento en unos minutos.

Compruebe el estado de la configuración

Para comprobar el estado de la solicitud de configuración, puede realizar una solicitud de GET.

Solicitud

Debe adjuntar la variable name de la configuración que desea comprobar a la ruta (config1 en el ejemplo siguiente) e incluya un configType parámetro de consulta establecido en BYOK_CONFIG.

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Respuesta

Una respuesta correcta devuelve el estado del trabajo.

{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{IMS_ORG}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

La variable status puede tener uno de estos cuatro valores con los siguientes significados:

  1. RUNNING: Valida que Platform tiene la capacidad de acceder a la clave y al almacén de claves.
  2. UPDATE_EXISTING_RESOURCES: El sistema está agregando el nombre de clave y la bóveda de claves a los almacenes de datos en todos los entornos limitados de su organización.
  3. COMPLETED: Se han añadido el almacén de claves y el nombre de clave a los almacenes de datos.
  4. FAILED: Se ha producido un problema, principalmente relacionado con la clave, el almacén de claves o la configuración de la aplicación de varios inquilinos.

Pasos siguientes

Al completar los pasos anteriores, habilitó correctamente CMK para su organización. Los datos introducidos en Platform ahora se cifrarán y descifrarán mediante las claves incluidas en su Azure Key Vault. Si desea revocar el acceso de Platform a sus datos, puede quitar la función de usuario asociada con la aplicación del almacén de claves dentro de Azure.

Después de deshabilitar el acceso a la aplicación, puede tardar entre unos minutos y 24 horas en que los datos ya no estén accesibles en Platform. El mismo retraso se aplica para que los datos vuelvan a estar disponibles cuando se vuelva a habilitar el acceso a la aplicación.

ADVERTENCIA

Una vez que la aplicación Key Vault, Key o CMK esté deshabilitada y ya no se pueda acceder a los datos en Platform, ya no será posible realizar ninguna operación descendente relacionada con esos datos. Asegúrese de comprender los impactos descendentes de la revocación del acceso de Platform a sus datos antes de realizar cambios en la configuración.

En esta página