Configurar las claves administradas por el cliente mediante la API
Este documento describe el proceso para habilitar la función de claves administradas por el cliente (CMK) en Adobe Experience Platform mediante la API. Para obtener instrucciones sobre cómo completar este proceso mediante la interfaz de usuario, consulte la Documento de configuración de IU CMK.
Requisitos previos
Para ver y visitar Cifrado en Adobe Experience Platform, debe haber creado una función y asignado el Administrar clave gestionada por el cliente permiso para ese rol. Cualquier usuario que tenga el Administrar clave gestionada por el cliente El permiso puede habilitar CMK para su organización.
Para obtener más información sobre la asignación de funciones y permisos en Experience Platform, consulte la documentación de configuración de permisos.
Para habilitar CMK, su Azure Se debe configurar Key Vault con la siguiente configuración:
Configuración de la aplicación CMK register-app
Una vez configurado el almacén de claves, el siguiente paso es registrarse en la aplicación CMK que se vinculará a su Azure inquilino.
Introducción
El registro de la aplicación CMK requiere que realice llamadas a las API de Platform. Para obtener más información sobre cómo recopilar los encabezados de autenticación necesarios para realizar estas llamadas, consulte la Guía de autenticación de Platform API.
Mientras que la guía de autenticación proporciona instrucciones sobre cómo generar su propio valor único para el requerido x-api-key
encabezado de solicitud, todas las operaciones de API de esta guía utilizan el valor estático acp_provisioning
en su lugar. Debe seguir proporcionando sus propios valores para {ACCESS_TOKEN}
y {ORG_ID}
, sin embargo.
En todas las llamadas API que se muestran en esta guía, platform.adobe.io
se utiliza como ruta raíz, que toma como valor predeterminado la región VA7. Si su organización utiliza una región diferente, platform
debe ir seguido de un guión y del código de región asignado a su organización: nld2
para NLD2 o aus5
para AUS5 (por ejemplo: platform-aus5.adobe.io
). Si no conoce la región de su organización, póngase en contacto con el administrador del sistema.
Buscar una URL de autenticación fetch-authentication-url
Para iniciar el proceso de registro, realice una solicitud de GET al extremo de registro de la aplicación para recuperar la URL de autenticación necesaria para su organización.
Solicitud
curl -X GET \
https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}'
Respuesta
Una respuesta correcta devuelve un applicationRedirectUrl
, que contiene la dirección URL de autenticación.
{
"id": "byok",
"name": "acpebae9422Caepcmkmultitenantapp",
"applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
"applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
"applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}
Copie y pegue applicationRedirectUrl
Dirección en un explorador para abrir un cuadro de diálogo de autenticación. Seleccionar Accept para agregar la entidad de seguridad del servicio de aplicaciones CMK a su Azure inquilino.
Asignar la aplicación CMK a un rol assign-to-role
Después de completar el proceso de autenticación, vuelva a su Azure Key Vault y seleccione Access control en el panel de navegación izquierdo. Desde aquí, seleccione Add seguido de Add role assignment.
La siguiente pantalla le pedirá que elija una función para esta asignación. Seleccionar Key Vault Crypto Service Encryption User antes de seleccionar Next para continuar.
En la pantalla siguiente, elija Select members para abrir un cuadro de diálogo en el carril derecho. Utilice la barra de búsqueda para localizar la entidad de seguridad de servicio de la aplicación CMK y seleccionarla en la lista. Cuando termine, seleccione Save.
Habilitar la configuración de clave de cifrado en el Experience Platform send-to-adobe
Después de instalar la aplicación CMK en Azure, puede enviar su identificador de clave de cifrado al Adobe. Seleccionar Keys en el panel de navegación izquierdo, seguido del nombre de la clave que desea enviar.
Seleccione la última versión de la clave y aparecerá su página de detalles. Desde aquí puede configurar de forma opcional las operaciones permitidas para la clave.
El Identificador de clave El campo muestra el identificador URI de la clave. Copie este valor de URI para utilizarlo en el siguiente paso.
Una vez que haya obtenido el URI del almacén de claves, puede enviarlo mediante una solicitud del POST al punto de conexión de configuración CMK.
Solicitud
code language-shell |
---|
|
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 | |
---|---|
Propiedad | Descripción |
name |
Un nombre para la configuración. Asegúrese de recordar este valor porque es necesario para comprobar el estado de la configuración a las etapa posterior. El valor distingue entre mayúsculas y minúsculas. |
type |
El tipo de configuración. Debe definirse en BYOK_CONFIG . |
imsOrgId |
Su ID de organización. Este ID debe tener el mismo valor que se proporciona en la variable x-gw-ims-org-id encabezado. |
configData |
Esta propiedad contiene los siguientes detalles sobre la configuración:
|
Respuesta
code language-json |
---|
|
El trabajo debe completar el procesamiento en unos minutos.
Verificar el estado de la configuración check-status
Para comprobar el estado de la solicitud de configuración, puede realizar una solicitud de GET.
Solicitud
Debe adjuntar el name
de la configuración que desea comprobar en la ruta (config1
en el ejemplo siguiente) e incluya un configType
parámetro de consulta establecido en BYOK_CONFIG
.
code language-shell |
---|
|
Respuesta
code language-json |
---|
|
El status
puede tener uno de los cuatro valores con los significados siguientes:
RUNNING
: valida que Platform puede acceder a la clave y al almacén de claves.UPDATE_EXISTING_RESOURCES
: el sistema está agregando el almacén de claves y el nombre de claves a los almacenes de datos en todos los entornos limitados de su organización.COMPLETED
: el almacén de claves y el nombre de claves se han agregado correctamente a los almacenes de datos.FAILED
: Se ha producido un problema, relacionado principalmente con la clave, el almacén de claves o la configuración de aplicaciones de varios inquilinos.
Pasos siguientes
Al completar los pasos anteriores, ha habilitado correctamente CMK para su organización. Los datos que se incorporan a los almacenes de datos principales ahora se cifran y descifran con las claves de su Azure Key Vault. Para obtener más información sobre el cifrado de datos en Adobe Experience Platform, consulte la documentación de cifrado.