Chaves gerenciadas pelo cliente no Adobe Experience Platform

Os dados armazenados no Adobe Experience Platform são criptografados em repouso usando chaves de nível de sistema. Se você estiver usando um aplicativo criado na plataforma, poderá optar por usar suas próprias chaves de criptografia, fornecendo maior controle sobre a segurança dos dados.

Este documento aborda o processo de habilitação do recurso CMK (Customer-managed keys, chaves gerenciadas pelo cliente) na plataforma.

Pré-requisitos

Para ativar o CMK, seu Azure O Cofre de Chaves tem de ser configurado com as seguintes definições:

Resumo do processo

A CMK está incluída no Healthcare Shield e nas ofertas do Privacy and Security Shield do Adobe. Depois que sua organização comprar uma licença para uma dessas ofertas, você poderá iniciar um processo único para configurar o recurso.

AVISO

Após a configuração do CMK, não é possível reverter para chaves gerenciadas pelo sistema. Você é responsável por gerenciar com segurança suas chaves e fornecer acesso ao seu Cofre de chaves, chave e aplicativo CMK em Azure para evitar a perda de acesso aos seus dados.

O processo é o seguinte:

  1. Configure um Azure Cofre de Chaves com base nas políticas de sua organização, gerar uma chave de criptografia que será compartilhado com o Adobe.
  2. Usar chamadas de API para configurar o aplicativo CMK com seu Azure inquilino.
  3. Usar chamadas de API para enviar a ID da chave de criptografia para o Adobe e inicie o processo de ativação do recurso.
  4. Verifique o status da configuração para verificar se o CMK foi ativado.

Quando o processo de configuração for concluído, todos os dados integrados na Platform em todas as sandboxes serão criptografados usando o Azure configuração principal. Para usar o CMK, você aproveitará Microsoft Azure que pode fazer parte de sua programa de visualização pública.

Configure um Azure Cofre de Chaves

O CMK só oferece suporte a chaves de um Microsoft Azure Cofre de Chaves. Para começar, você deve trabalhar com Azure para criar uma nova conta corporativa ou usar uma conta corporativa existente e siga as etapas abaixo para criar o Cofre de Chaves.

IMPORTANTE

Somente os níveis de serviço Premium e Standard para Azure O Cofre de Chaves é suportado. Azure Managed HSM, Azure Dedicated HSM e Azure Payments HSM não são compatíveis. Consulte a Azure documentação para obter mais informações sobre os serviços de gerenciamento de chaves oferecidos.

OBSERVAÇÃO

A documentação abaixo cobre apenas as etapas básicas para criar o cofre de chaves. Fora dessa orientação, você deve configurar o cofre de chaves de acordo com as políticas de sua organização.

Faça logon no Azure portal e use a barra de pesquisa para localizar Key vaults na lista de serviços.

Pesquise e selecione valores-chave

O Key vaults será exibida após selecionar o serviço. Aqui, selecione Create.

Criar cofre de chaves

Usando o formulário fornecido, preencha os detalhes básicos do cofre de chaves, incluindo um nome e um grupo de recursos atribuído.

AVISO

Embora a maioria das opções possa ser deixada como seus valores padrão, certifique-se de ativar as opções de proteção de exclusão e limpeza de software. Se não ativar esses recursos, você poderá correr o risco de perder acesso aos seus dados se o cofre de chaves for excluído.

Ativar proteção de limpeza

A partir daqui, continue passando pelo fluxo de trabalho de criação do cofre principal e configure as diferentes opções de acordo com as políticas de sua organização.

Assim que você chegar ao Review + create , é possível revisar os detalhes do cofre de chaves enquanto ele passa pela validação. Depois que a validação for aprovada, selecione Create para concluir o processo.

Configuração básica para o cofre de chaves

Configurar opções de rede

Se o seu cofre de chaves estiver configurado para restringir o acesso público a determinadas redes virtuais ou desabilitar totalmente o acesso público, você deverá conceder à Microsoft uma exceção de firewall.

Selecionar Networking no painel de navegação esquerdo. Em Firewalls and virtual networks, marque a caixa de seleção Allow trusted Microsoft services to bypass this firewall, em seguida selecione Apply.

Configuração básica para o cofre de chaves

Gerar uma chave

Depois de criar um cofre de chaves, você pode gerar uma nova chave. Navegue até o Keys e selecione Generate/Import.

Gerar uma chave

Use o formulário fornecido para fornecer um nome para a chave e selecione RSA para o tipo de chave. No mínimo, a variável RSA key size deve ser pelo menos 3072 bits, conforme exigido por Cosmos DB. Azure Data Lake Storage também é compatível com o RSA 3027.

OBSERVAÇÃO

Lembre-se do nome que você fornece para a chave, pois ela será usada em uma etapa posterior ao enviar a chave para o Adobe.

Use os controles restantes para configurar a chave que deseja gerar ou importar, conforme desejado. Quando terminar, selecione Create.

Configurar chave

A chave configurada aparece na lista de chaves do cofre.

Chave adicionada

Configurar o aplicativo CMK

Depois que o cofre de chaves estiver configurado, a próxima etapa é se registrar no aplicativo CMK que será vinculado ao seu Azure inquilino.

Introdução

O registro do aplicativo CMK requer que você faça chamadas para APIs da plataforma. Para obter detalhes sobre como coletar os cabeçalhos de autenticação necessários para fazer essas chamadas, consulte o Guia de autenticação da API da plataforma.

Embora o guia de autenticação forneça instruções sobre como gerar seu próprio valor exclusivo para o x-api-key cabeçalho da solicitação, todas as operações de API neste guia usam o valor estático acp_provisioning em vez disso. Você ainda deve fornecer seus próprios valores para {ACCESS_TOKEN} e {ORG_ID}, no entanto.

Em todas as chamadas de API mostradas neste guia, platform.adobe.io é usado como o caminho raiz, que padroniza a região do VA7. Se sua organização usar uma região diferente, platform deve ser seguido por um traço e o código de região atribuído à organização: nld2 para NLD2 ou aus5 para AUS5 (por exemplo: platform-aus5.adobe.io). Se você não souber a região da organização, entre em contato com o administrador do sistema.

Buscar um URL de autenticação

Para iniciar o processo de registro, faça uma solicitação GET ao endpoint de registro do aplicativo para buscar o URL de autenticação necessário para sua organização.

Solicitação

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Resposta

Uma resposta bem-sucedida retorna um applicationRedirectUrl , contendo o URL de autenticação.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Copie e cole o applicationRedirectUrl endereço em um navegador para abrir uma caixa de diálogo de autenticação. Selecionar Accept para adicionar o principal do serviço de aplicativo CMK ao seu Azure inquilino.

Aceitar solicitação de permissão

Atribuir o aplicativo CMK a uma função

Depois de concluir o processo de autenticação, retorne ao Azure Cofre de chaves e selecione Access control no painel de navegação esquerdo. Aqui, selecione Add seguida de Add role assignment.

Adicionar atribuição de função

A próxima tela solicita que você escolha uma função para esta atribuição. Selecionar Key Vault Crypto Service Encryption User antes de selecionar Next para continuar.

Selecionar função

Na próxima tela, escolha Select members para abrir uma caixa de diálogo no painel direito. Use a barra de pesquisa para localizar o principal de serviço do aplicativo CMK e selecioná-lo na lista. Quando terminar, selecione Save.

OBSERVAÇÃO

Se você não conseguir encontrar seu aplicativo na lista, o principal do serviço não foi aceito no locatário. Trabalhe com seu Azure administrador ou representante para garantir que você tenha os privilégios corretos.

Ative a configuração da chave de criptografia no Experience Platform

Depois de instalar o aplicativo CMK em Azure, é possível enviar o identificador da chave de criptografia para o Adobe. Selecionar Keys no menu de navegação esquerdo, seguido pelo nome da chave que deseja enviar.

Selecionar chave

Selecione a versão mais recente da chave e sua página de detalhes será exibida. Aqui, você pode, opcionalmente, configurar as operações permitidas para a chave. No mínimo, a chave deve receber a Wrap Key e Unwrap Key permissões.

O Identificador de Chave exibe o identificador de URI da chave. Copie esse valor de URI para uso na próxima etapa.

Copiar URL da chave

Depois de obter o URI do cofre de chaves, você pode enviá-lo usando uma solicitação de POST para o endpoint de configuração do CMK.

OBSERVAÇÃO

Somente o cofre de chaves e o nome da chave são armazenados com o Adobe, não a versão da chave.

Solicitação

curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
Propriedade Descrição
name Um nome para a configuração. Lembre-se desse valor, pois será necessário verificar o status da configuração em um etapa posterior. O valor diferencia maiúsculas de minúsculas.
type O tipo de configuração. Deve ser definido como BYOK_CONFIG.
imsOrgId Sua IMS Organization ID. Esse deve ser o mesmo valor fornecido no x-gw-ims-org-id cabeçalho.
configData Contém os seguintes detalhes sobre a configuração:
  • providerType: Deve ser definido como AZURE_KEYVAULT.
  • keyVaultKeyIdentifier: O URI do cofre de chaves que copiou before.

Resposta

Uma resposta bem-sucedida retorna os detalhes do trabalho de configuração.

{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{IMS_ORG}",
    "status": "NEW"
  },
  "status": "CREATED"
}

A tarefa deve concluir o processamento em alguns minutos.

Verificar o status da configuração

Para verificar o status da solicitação de configuração, você pode fazer uma solicitação de GET.

Solicitação

Você deve anexar a variável name da configuração que você deseja verificar para o caminho (config1 no exemplo abaixo) e inclua um configType parâmetro de consulta definido como BYOK_CONFIG.

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Resposta

Uma resposta bem-sucedida retorna o status da tarefa.

{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{IMS_ORG}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

O status pode ter um dos quatro valores com os seguintes significados:

  1. RUNNING: Valida se a Platform tem a capacidade de acessar a chave e o cofre de chaves.
  2. UPDATE_EXISTING_RESOURCES: O sistema está adicionando o cofre de chaves e o nome da chave aos armazenamentos de dados em todas as sandboxes na organização.
  3. COMPLETED: O cofre de chaves e o nome da chave foram adicionados aos armazenamentos de dados.
  4. FAILED: Ocorreu um problema principalmente relacionado à configuração da chave, do cofre de chaves ou do aplicativo de vários locatários.

Próximas etapas

Ao concluir as etapas acima, você ativou com êxito o CMK para sua organização. Os dados assimilados no Platform agora serão criptografados e descriptografados usando as chaves em seu Azure Cofre de Chaves. Se você quiser revogar o acesso da Platform aos seus dados, poderá remover a função de usuário associada ao aplicativo do cofre de chaves no Azure.

Após desabilitar o acesso ao aplicativo, pode levar de alguns minutos a 24 horas para que os dados não estejam mais acessíveis na Platform. O mesmo atraso de tempo se aplica para que os dados fiquem disponíveis novamente ao reativar o acesso ao aplicativo.

AVISO

Quando o aplicativo Cofre de chaves, Chave ou CMK estiver desativado e os dados não estiverem mais acessíveis na plataforma, nenhuma operação de downstream relacionada a esses dados será mais possível. Certifique-se de entender os impactos downstream da revogação do acesso da Platform aos seus dados antes de fazer alterações na configuração.

Nesta página