DocumentaciónExperience PlatformInformación general de Experience Platform

Claves gestionadas por el cliente en Adobe Experience Platform

Last update: Wed Jan 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Temas:

Creado para:

  • Desarrollador

Los datos almacenados en Adobe Experience Platform se cifran en reposo mediante claves de nivel de sistema. Si utiliza una aplicación basada en Platform, puede optar por utilizar sus propias claves de cifrado, lo que le proporciona un mayor control sobre la seguridad de los datos.

AVAILABILITY
Adobe Experience Platform admite claves administradas por el cliente (CMK) tanto para Microsoft Azure como para Amazon Web Service (AWS). Un Experience Platform que se ejecuta en AWS está disponible actualmente para un número limitado de clientes. Si la implementación se ejecuta en AWS, tiene la opción de utilizar el Servicio de administración de claves (KMS) para el cifrado de datos de Platform. Para obtener más información sobre la infraestructura compatible, consulte la descripción general de la nube múltiple de Experience Platform.
Para obtener más información acerca de la creación y administración de claves de cifrado en AWS KMS, consulte la Guía de cifrado de datos de AWS KMS. Para implementaciones de Azure, consulte la Guía de configuración de Azure Key Vault.
NOTE
Para Azure instancias de Platform alojadas, los datos de perfil de cliente almacenados en Platform Azure Data Lake y el almacén de perfiles Azure Cosmos DB se cifran exclusivamente mediante CMK una vez habilitado. La revocación de claves en los almacenes de datos principales puede tardar entre unos minutos y 24 horas, y entre hasta 7 días para los almacenes de datos transitorios o secundarios. Para obtener más información, consulte las implicaciones de revocar el acceso a claves en la sección.

Este documento proporciona información general de alto nivel sobre el proceso para habilitar la función Claves administradas por el cliente (CMK) en Platform en Azure y AWS, junto con la información sobre los requisitos previos necesaria para completar estos pasos.

NOTE
Para los clientes de Customer Journey Analytics, siga las instrucciones que se encuentran en documentación de Customer Journey Analytics.

Requisitos previos

Para habilitar CMK, el entorno de alojamiento de su plataforma (Azure o AWS) debe cumplir con los requisitos de configuración específicos:

Requisitos previos generales

Para ver y obtener acceso a la sección Cifrado en Adobe Experience Platform, debe haber creado una función y asignado el permiso Administrar clave administrada por el cliente a esa función. Cualquier usuario con el permiso Administrar clave administrada por el cliente puede habilitar CMK para su organización.

Para obtener más información sobre la asignación de funciones y permisos en Experience Platform, consulte la documentación sobre la configuración de permisos.

Requisitos previos específicos de Azure

Para implementaciones alojadas en Azure, configure el almacén de claves Azure con la siguiente configuración:

Requisitos previos específicos de AWS

En implementaciones alojadas en AWS, configure su entorno de AWS de la siguiente manera:

Resumen del proceso process-summary

Claves gestionadas por el cliente (CMK) está disponible a través de las ofertas Escudo de atención sanitaria y Escudo de privacidad y seguridad de Adobe. En Azure, CMK es compatible tanto con Healthcare Shield como con Privacy and Security Shield. En AWS, CMK solo es compatible con el Escudo de privacidad y seguridad, y no está disponible para Healthcare Shield. Una vez que su organización compre una licencia para una de estas ofertas, puede iniciar el proceso de configuración único para habilitar CMK.

WARNING
Después de configurar CMK, no puede volver a las claves administradas por el sistema. Usted es responsable de administrar de forma segura sus claves para evitar la pérdida de acceso a sus datos.

El proceso es el siguiente:

Para Azure azure-process-summary

  1. Configura un Azure depósito de claves basado en las políticas de tu organización y genera una clave de cifrado para compartirla con el Adobe.
  2. Configure la aplicación CMK con su inquilino de Azure a través de llamadas API o la IU.
  3. Envíe su ID de clave de cifrado al Adobe e inicie el proceso de habilitación de la función, ya sea en la interfaz de usuario o con una llamada API.
  4. Compruebe el estado de la configuración para comprobar si CMK se ha habilitado, ya sea en la interfaz de usuario o con una llamada API.

Una vez completado el proceso de configuración de las instancias de Platform alojadas en Azure, todos los datos incorporados en Platform en todas las zonas protegidas se cifrarán con la configuración de clave de Azure. Para usar CMK, aprovechará la funcionalidad Microsoft Azure que puede formar parte de su programa de vista previa pública.

Para AWS aws-process-summary

  1. Configure AWS KMS configurando una clave de cifrado para compartirla con el Adobe.
  2. Siga las instrucciones específicas de AWS en la guía de configuración de la interfaz de usuario.
  3. Valide la configuración para confirmar que los datos de Platform se cifran con la clave alojada en AWS.

Una vez completado el proceso de configuración de las instancias de Platform alojadas en AWS, todos los datos incorporados en Platform en todas las zonas protegidas se cifrarán con la configuración del servicio de administración de claves (KMS) de AWS. Para utilizar CMK en AWS, utilizará el Servicio de administración de claves de AWS para crear y administrar las claves de cifrado de acuerdo con los requisitos de seguridad de su organización.

Implicaciones de revocar el acceso a claves revoke-access

Revocar o deshabilitar el acceso a la aplicación Key Vault, key o CMK en Azure o a la clave de cifrado en AWS puede provocar interrupciones significativas, que incluyen cambios importantes en las operaciones de la plataforma. Una vez deshabilitadas las claves, es posible que no se pueda acceder a los datos en Platform y que las operaciones de flujo descendente que dependan de estos datos dejen de funcionar. Es crucial comprender completamente los impactos descendentes antes de realizar cambios en las configuraciones clave.

Para revocar el acceso de plataforma a sus datos en Azure, quite el rol de usuario asociado a la aplicación de Key Vault. Para AWS, puede deshabilitar la clave o actualizar la instrucción de directiva. Para obtener instrucciones detalladas sobre el proceso de AWS, consulte la sección de revocación de claves.

Escalas de tiempo de propagación propagation-timelines

Una vez revocado el acceso a la clave desde el almacén de claves Azure, los cambios se propagarán de la siguiente manera:

Tipo de tienda
Descripción
Cronología
Almacenes de datos principales
Incluye lagos de datos (Azure Data Lake, AWS S3) y tiendas de perfil de Azure Cosmos DB. Una vez revocado el acceso a las claves, los datos se vuelven inaccesibles.
Entre pocos minutos y 24 horas.
Almacenes de datos en caché/transitorios
Incluye almacenes de datos secundarios utilizados para el rendimiento y la funcionalidad principal de la aplicación. El impacto de la revocación de claves se retrasa.
Hasta 7 días.

Por ejemplo, el panel Perfil seguirá mostrando los datos de su caché durante un máximo de siete días antes de que los datos caduquen y se actualicen. Del mismo modo, volver a habilitar el acceso a la aplicación tarda la misma cantidad de tiempo en restaurar la disponibilidad de los datos en estas tiendas.

NOTE
Volver a habilitar el acceso a la aplicación puede llevar la misma cantidad de tiempo que la revocación para restaurar la disponibilidad de los datos en estas tiendas.
TIP
Existen dos excepciones específicas de casos de uso a la caducidad de conjuntos de datos de siete días en datos no principales (almacenados en caché/transitorios). Consulte su documentación correspondiente para obtener más información sobre estas funciones.

Pasos siguientes

Para iniciar el proceso:

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5