Los datos almacenados en Adobe Experience Platform se cifran en reposo mediante claves a nivel de sistema. Si utiliza una aplicación creada sobre Platform, puede optar por utilizar sus propias claves de cifrado, lo que le otorga un bueno control sobre la seguridad de los datos.
Este documento cubre el proceso para habilitar la función de claves gestionadas por el cliente (CMK) en Platform.
Para habilitar CMK, su Azure Key Vault debe configurarse con la siguiente configuración:
CMK está incluido en el Escudo de la Salud y en las ofertas del Escudo de la privacidad y la seguridad del Adobe. Una vez que su organización haya adquirido una licencia para una de estas ofertas, puede iniciar un proceso único para configurar la función.
Después de configurar CMK, no puede revertir a claves administradas por el sistema. Usted es responsable de administrar sus claves de forma segura y de proporcionar acceso a su aplicación Key Vault, Key y CMK dentro de Azure para evitar perder acceso a sus datos.
El proceso es el siguiente:
Una vez completado el proceso de configuración, todos los datos introducidos en Platform en todos los entornos limitados se cifrarán con su Azure configuración de claves. Para utilizar CMK, aprovechará Microsoft Azure que pueden formar parte de sus programa de vista previa pública.
CMK solo admite claves de un Microsoft Azure Key Vault. Para empezar, debe trabajar con Azure para crear una nueva cuenta de empresa, o utilice una cuenta de empresa existente y siga los pasos a continuación para crear Key Vault.
Solo los niveles de servicio Premium y Standard para Azure Se admite Key Vault. Azure Managed HSM, Azure Dedicated HSM y Azure Payments HSM no son compatibles. Consulte la Azure documentación para obtener más información sobre los servicios de administración clave ofrecidos.
La siguiente documentación solo cubre los pasos básicos para crear la bóveda de claves. Fuera de esta guía, debe configurar el almacén de claves según las políticas de su organización.
Inicie sesión en la Azure portal y utilice la barra de búsqueda para localizar Key vaults en la lista de servicios.
La variable Key vaults aparece después de seleccionar el servicio. Desde aquí, seleccione Create.
Mediante el formulario proporcionado, rellene los detalles básicos del almacén de claves, incluidos un nombre y un grupo de recursos asignado.
Mientras que la mayoría de las opciones se pueden dejar como valores predeterminados, asegúrese de habilitar las opciones de protección de eliminación y depuración de software. Si no activa estas funciones, puede correr el riesgo de perder el acceso a los datos si se elimina el almacén de claves.
A partir de aquí, continúe con el flujo de trabajo de creación de bóvedas de claves y configure las diferentes opciones según las políticas de su organización.
Una vez que llegue al Review + create , puede revisar los detalles del almacén de claves mientras pasa por la validación. Una vez aprobada la validación, seleccione Create para completar el proceso.
Si el almacén de claves está configurado para restringir el acceso público a ciertas redes virtuales o deshabilitar el acceso público por completo, debe conceder a Microsoft una excepción de firewall.
Select Networking en el panel de navegación izquierdo. En Firewalls and virtual networks, seleccione la casilla de verificación Allow trusted Microsoft services to bypass this firewall y, a continuación, seleccione Apply.
Una vez creado un almacén de claves, puede generar una clave nueva. Vaya a la Keys y seleccione Generate/Import.
Utilice el formulario proporcionado para proporcionar un nombre para la clave y seleccione RSA para el tipo de clave. Como mínimo, la variable RSA key size debe ser 3072 bits requeridos por Cosmos DB. Azure Data Lake Storage también es compatible con RSA 3027.
Recuerde el nombre que proporcione para la clave, ya que se utilizará en un paso posterior cuando envío de la clave al Adobe.
Utilice los controles restantes para configurar la clave que desee generar o importar. Cuando termine, seleccione Create.
La clave configurada aparece en la lista de claves del almacén.
Una vez que tenga configurado el almacén de claves, el siguiente paso es registrarse en la aplicación CMK que se vinculará a su Azure inquilino.
El registro de la aplicación CMK requiere que realice llamadas a las API de Platform. Para obtener más información sobre cómo recopilar los encabezados de autenticación necesarios para realizar estas llamadas, consulte la Guía de autenticación de API de plataforma.
Mientras que la guía de autenticación proporciona instrucciones sobre cómo generar su propio valor único para el x-api-key
encabezado de solicitud, todas las operaciones de API de esta guía utilizan el valor estático acp_provisioning
en su lugar. Debe proporcionar sus propios valores para {ACCESS_TOKEN}
y {ORG_ID}
, sin embargo.
En todas las llamadas de API que se muestran en esta guía, platform.adobe.io
se usa como ruta raíz, que toma como valor predeterminado la región de VA7. Si su organización utiliza una región diferente, platform
debe ir seguido de un guión y del código de región asignado a su organización: nld2
para NLD2 o aus5
para AUS5 (por ejemplo: platform-aus5.adobe.io
). Si no conoce la región de su organización, póngase en contacto con el administrador del sistema.
Para iniciar el proceso de registro, realice una solicitud de GET al extremo de registro de la aplicación para recuperar la URL de autenticación necesaria para su organización.
Solicitud
curl -X GET \
https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}'
Respuesta
Una respuesta correcta devuelve un valor applicationRedirectUrl
, que contiene la dirección URL de autenticación.
{
"id": "byok",
"name": "acpebae9422Caepcmkmultitenantapp",
"applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
"applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
"applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}
Copie y pegue el applicationRedirectUrl
en un navegador para abrir un cuadro de diálogo de autenticación. Select Accept para agregar la entidad de seguridad del servicio de aplicaciones CMK al Azure inquilino.
Después de completar el proceso de autenticación, vuelva a su Azure Key Vault y seleccione Access control en el panel de navegación izquierdo. Desde aquí, seleccione Add seguido de Add role assignment.
La siguiente pantalla le pedirá que elija una función para esta asignación. Select Key Vault Crypto Service Encryption User antes de seleccionar Next para continuar.
En la siguiente pantalla, seleccione Select members para abrir un cuadro de diálogo en el carril derecho. Utilice la barra de búsqueda para localizar la entidad de seguridad de servicio de la aplicación CMK y selecciónela en la lista. Cuando termine, seleccione Save.
Si no encuentra la aplicación en la lista, la entidad de seguridad del servicio no se ha aceptado en el inquilino. Trabaje con su Azure administrador o representante para asegurarse de que dispone de los privilegios correctos.
Después de instalar la aplicación CMK en Azure, puede enviar el identificador de la clave de cifrado a Adobe. Select Keys en el panel de navegación izquierdo, seguido del nombre de la clave que desea enviar.
Seleccione la última versión de la clave y aparecerá su página de detalles. Desde aquí puede configurar opcionalmente las operaciones permitidas para la clave. Como mínimo, se debe conceder la clave Wrap Key y Unwrap Key permisos.
La variable Identificador de clave muestra el identificador de URI de la clave. Copie este valor de URI para utilizarlo en el siguiente paso.
Una vez obtenido el URI de almacén de claves, puede enviarlo mediante una solicitud de POST al extremo de configuración CMK.
Solo el almacén de claves y el nombre de clave se almacenan con Adobe, no con la versión de clave.
Solicitud
curl -X POST \
https://platform.adobe.io/data/infrastructure/manager/customer/config \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}' \
-d '{
"name": "Config1",
"type": "BYOK_CONFIG",
"imsOrgId": "{ORG_ID}",
"configData": {
"providerType": "AZURE_KEYVAULT",
"keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
}
}'
Propiedad | Descripción |
---|---|
name |
Un nombre para la configuración. Asegúrese de recordar este valor, ya que será necesario para comprobar el estado de la configuración en una paso posterior. El valor distingue entre mayúsculas y minúsculas. |
type |
El tipo de configuración. Debe definirse en BYOK_CONFIG . |
imsOrgId |
Su ID de la organización IMS. Debe ser el mismo valor que se proporciona en la variable x-gw-ims-org-id encabezado. |
configData |
Contiene los siguientes detalles sobre la configuración:
|
Respuesta
Una respuesta correcta devuelve los detalles del trabajo de configuración.
{
"id": "4df7886b-a122-4391-880b-47888d5c5b92",
"config": {
"configData": {
"keyVaultUri": "https://adobecmkexample.vault.azure.net",
"keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
"keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
"keyName": "Config1",
"providerType": "AZURE_KEYVAULT"
},
"name": "acpcf978863Aaepcmkmultitenantapp",
"type": "BYOK_CONFIG",
"imsOrgId": "{IMS_ORG}",
"status": "NEW"
},
"status": "CREATED"
}
El trabajo debe completar el procesamiento en unos minutos.
Para comprobar el estado de la solicitud de configuración, puede realizar una solicitud de GET.
Solicitud
Debe adjuntar la variable name
de la configuración que desea comprobar a la ruta (config1
en el ejemplo siguiente) e incluya un configType
parámetro de consulta establecido en BYOK_CONFIG
.
curl -X GET \
https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}'
Respuesta
Una respuesta correcta devuelve el estado del trabajo.
{
"name": "acpcf978863Aaepcmkmultitenantapp",
"type": "BYOK_CONFIG",
"status": "COMPLETED",
"configData": {
"keyVaultUri": "https://adobecmkexample.vault.azure.net",
"keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
"keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
"keyName": "Config1",
"providerType": "AZURE_KEYVAULT"
},
"imsOrgId": "{IMS_ORG}",
"subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
"id": "4df7886b-a122-4391-880b-47888d5c5b92",
"rowType": "BYOK_KEY"
}
La variable status
puede tener uno de estos cuatro valores con los siguientes significados:
RUNNING
: Valida que Platform tiene la capacidad de acceder a la clave y al almacén de claves.UPDATE_EXISTING_RESOURCES
: El sistema está agregando el nombre de clave y la bóveda de claves a los almacenes de datos en todos los entornos limitados de su organización.COMPLETED
: Se han añadido el almacén de claves y el nombre de clave a los almacenes de datos.FAILED
: Se ha producido un problema, principalmente relacionado con la clave, el almacén de claves o la configuración de la aplicación de varios inquilinos.Al completar los pasos anteriores, habilitó correctamente CMK para su organización. Los datos introducidos en Platform ahora se cifrarán y descifrarán mediante las claves incluidas en su Azure Key Vault. Si desea revocar el acceso de Platform a sus datos, puede quitar la función de usuario asociada con la aplicación del almacén de claves dentro de Azure.
Después de deshabilitar el acceso a la aplicación, puede tardar entre unos minutos y 24 horas en que los datos ya no estén accesibles en Platform. El mismo retraso se aplica para que los datos vuelvan a estar disponibles cuando se vuelva a habilitar el acceso a la aplicación.
Una vez que la aplicación Key Vault, Key o CMK esté deshabilitada y ya no se pueda acceder a los datos en Platform, ya no será posible realizar ninguna operación descendente relacionada con esos datos. Asegúrese de comprender los impactos descendentes de la revocación del acceso de Platform a sus datos antes de realizar cambios en la configuración.