Configuration et configuration des clés gérées par le client à l’aide de l’API

Dernière mise à jour : 2023-10-31
  • Créé pour :
  • Developer
    User
    Admin
    Leader

Ce document couvre le processus d’activation de la fonction de clés gérées par le client (CMK) dans Adobe Experience Platform à l’aide de l’API. Pour obtenir des instructions sur la façon d’effectuer ce processus à l’aide de l’interface utilisateur, reportez-vous à la section Document de configuration de l’IU CMK.

Conditions préalables

Pour afficher et consulter la variable Chiffrement dans Adobe Experience Platform, vous devez avoir créé un rôle et affecté la fonction Gestion de la clé gérée par le client autorisation de ce rôle. Tout utilisateur qui possède la variable Gestion de la clé gérée par le client La permission peut activer le CMK pour leur organisation.

Pour plus d’informations sur l’affectation de rôles et d’autorisations dans Experience Platform, reportez-vous à la section configuration de la documentation sur les autorisations.

Pour activer le CMK, votre Azure Key Vault doit être configuré avec les paramètres suivants :

Configurer l’application CMK

Une fois que votre coffre-fort de clé est configuré, l’étape suivante consiste à s’enregistrer pour l’application CMK qui se connectera à votre Azure client.

Prise en main

L’enregistrement de l’application CMK nécessite que vous exécutiez des appels vers les API Platform. Pour plus d’informations sur la collecte des en-têtes d’authentification requis pour effectuer ces appels, consultez le guide d’authentification des API Platform.

Le guide d’authentification fournit des instructions sur la génération de votre propre valeur unique pour l’en-tête de requête x-api-key, toutes les opérations API de ce guide utilisent plutôt la valeur statique acp_provisioning. Cependant, vous devez toujours fournir vos propres valeurs pour {ACCESS_TOKEN} et {ORG_ID}.

Dans tous les appels API présentés dans ce guide, platform.adobe.io est utilisé comme chemin racine, qui correspond par défaut à la région VA7. Si votre entreprise utilise une autre région, platform doit être suivie d’un tiret et du code de région affecté à votre organisation : nld2 pour NLD2 ou aus5 pour AUS5 (par exemple : platform-aus5.adobe.io). Si vous ne connaissez pas la région de votre entreprise, contactez votre administrateur système.

Récupérer une URL d’authentification

Pour démarrer le processus d’enregistrement, envoyez une requête GET au point d’entrée d’enregistrement de l’application afin de récupérer l’URL d’authentification requise pour votre organisation.

Requête

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Réponse

Une réponse réussie renvoie une propriété applicationRedirectUrl contenant l’URL d’authentification.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Copiez et collez l’adresse applicationRedirectUrl dans un navigateur pour ouvrir une boîte de dialogue d’authentification. Sélectionnez Accept pour ajouter le principal de service de l’application CMK à votre client Azure.

Boîte de dialogue de demande d’autorisation Microsoft avec Accepter surlignée.

Attribuer l’application CMK à un rôle

Une fois le processus d’authentification terminé, revenez au coffre de clés Azure et sélectionnez Access control dans le volet de navigation de gauche. À partir de là, sélectionnez Add, puis Add role assignment.

Le tableau de bord Azure Microsoft avec Add et Add role assignment surlignée.

L’écran suivant vous invite à choisir un rôle pour cette affectation. Sélectionnez Key Vault Crypto Service Encryption User avant de sélectionner Next pour continuer.

Le tableau de bord Azure de Microsoft avec la variable Key Vault Crypto Service Encryption User surlignée.

Dans l’écran suivant, choisissez Select members pour ouvrir une boîte de dialogue dans le rail de droite. Utilisez la barre de recherche pour localiser le principal de service de l’application CMK et sélectionnez-le dans la liste. Lorsque vous avez terminé, sélectionnez Save.

REMARQUE

Si vous ne trouvez pas votre application dans la liste, votre principal de service n’a pas été accepté dans votre client. Pour vous assurer que vous disposez des privilèges appropriés, utilisez votre Azure administrateur ou représentant.

Activer la configuration de la clé de chiffrement sur Experience Platform

Après l’installation de l’application CMK sur Azure, vous pouvez envoyer votre identifiant de la clé de chiffrement à Adobe. Sélectionnez Keys dans le volet de navigation de gauche, suivi du nom de la clé à envoyer.

Le tableau de bord Azure de Microsoft avec la variable Keys et le nom de la clé mis en surbrillance.

Sélectionnez la dernière version de la clé et sa page de détails s’affiche. À partir de là, vous pouvez éventuellement configurer les opérations autorisées pour la clé.

IMPORTANT

Les opérations minimales requises autorisées pour la clé sont les suivantes : Wrap Key et Unwrap Key autorisations. Vous pouvez inclure Encrypt, Decrypt, Sign, et Verify devrais-tu vouloir.

Le champ Identifiant de clé affiche l’identifiant d’URI de la clé. Copiez cette valeur d’URI à utiliser à l’étape suivante.

La clé du tableau de bord Azure de Microsoft contient les informations suivantes : Permitted operations et les sections Copier la clé URL sont mises en surbrillance.

Une fois que vous avez obtenu l’URI du coffre de clés, vous pouvez l’envoyer à l’aide d’une requête POST au point d’entrée de configuration du CMK.

REMARQUE

Seul le coffre de clés et le nom de la clé sont stockés dans Adobe, et pas la version de la clé.

Requête

 Exemple de requête pour envoyer un URI de coffre-fort clé au point de terminaison de configuration du CMK.
curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
Propriété Description
name Un nom pour la configuration. Veillez à mémoriser cette valeur, car il est nécessaire de vérifier l’état de la configuration à l’adresse étape ultérieure. La valeur respecte la casse.
type Le type de configuration. Cette propriété doit être définie sur BYOK_CONFIG.
imsOrgId Votre identifiant d’organisation. Cet identifiant doit être la même valeur que celle fournie sous la variable x-gw-ims-org-id en-tête .
configData Cette propriété contient les détails suivants sur la configuration :
  • providerType : Cette propriété doit être définie sur AZURE_KEYVAULT.
  • keyVaultKeyIdentifier : URI de coffre de clés que vous avez copié précédemment.

Réponse

 La réponse réussie renvoie les détails de la tâche de configuration.
{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{ORG_ID}",
    "status": "NEW"
  },
  "status": "CREATED"
}

Le traitement de la tâche doit être terminé dans les minutes qui suivent.

Vérifiez le statut de la configuration

Pour vérifier le statut de la demande de configuration, vous pouvez effectuer une requête GET.

Requête

Vous devez ajouter le name de la configuration que vous souhaitez vérifier au chemin d’accès (config1 dans l’exemple ci-dessous) et inclure un paramètre de requête configType défini sur BYOK_CONFIG.

 Exemple de requête pour vérifier le statut de la requête de configuration.
curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Réponse

 La réponse réussie renvoie l’état de la tâche.
{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{ORG_ID}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

L’attribut status peut avoir l’une des quatre valeurs ayant la signification suivante :

  1. RUNNING: vérifie que Platform peut accéder au coffre-fort de clé et de clé.
  2. UPDATE_EXISTING_RESOURCES : le système ajoute le coffre de clés et le nom des clés aux magasins de données de tous les sandbox de votre entreprise.
  3. COMPLETED: le coffre-fort de la clé et le nom de la clé ont été ajoutés aux banques de données avec succès.
  4. FAILED : un problème s’est produit, principalement lié à la configuration de la clé, du coffre de clés ou de l’application multi-utilisateur.

Étapes suivantes

En suivant les étapes ci-dessus, vous avez activé le CMK pour votre entreprise. Les données ingérées dans les entrepôts de données principaux seront désormais chiffrées et déchiffrées à l’aide des clés de votre Azure Key Vault. Pour en savoir plus sur le cryptage des données dans Adobe Experience Platform, voir documentation sur le chiffrement.

Sur cette page