Configurar las claves administradas por el cliente mediante la IU de Platform

Este documento cubre el proceso para habilitar la función de claves administradas por el cliente (CMK) en Platform mediante la interfaz de usuario de. Para obtener instrucciones sobre cómo completar este proceso mediante la API, consulte la Documento de configuración de API CMK.

Requisitos previos

Para ver y visitar Cifrado en Adobe Experience Platform, debe haber creado una función y asignado el Administrar clave gestionada por el cliente permiso para ese rol. Cualquier usuario que tenga el Administrar clave gestionada por el cliente El permiso puede habilitar CMK para su organización.

Para obtener más información sobre la asignación de funciones y permisos en Experience Platform, consulte la documentación de configuración de permisos.

Para habilitar CMK, su Azure Se debe configurar Key Vault con la siguiente configuración:

Configuración de la aplicación CMK register-app

Una vez configurado el almacén de claves, el siguiente paso es registrar la aplicación CMK que se vinculará a su Azure inquilino.

Introducción

Para ver la Configuraciones de cifrado panel, seleccione Cifrado en el Administration encabezado de la barra lateral de navegación izquierda.

El panel de configuración Cifrado con Cifrado y la tarjeta Claves administradas por el cliente resaltadas.

Seleccionar Configurar para abrir Configuración de claves administradas por el cliente vista. Este espacio de trabajo contiene todos los valores necesarios para completar los pasos que se describen a continuación y realizar la integración con el almacén de claves de Azure.

Copiar URL de autenticación copy-authentication-url

Para iniciar el proceso de registro, copie la URL de autenticación de la aplicación para su organización desde el Configuración de claves administradas por el cliente ver y pegarlo en su Azure entorno Key Vault Crypto Service Encryption User. Detalles sobre cómo asignar un rol se proporcionan en la siguiente sección.

Seleccione el icono de copia ( El icono Copiar. ) por el URL de autenticación de aplicación.

El Configuración de claves administradas por el cliente vista con la sección URL de autenticación de aplicación resaltada.

Copie y pegue URL de autenticación de aplicación en un explorador para abrir un cuadro de diálogo de autenticación. Seleccionar Accept para agregar la entidad de seguridad del servicio de aplicaciones CMK a su Azure inquilino. Al confirmar la autenticación, se le redirige a la página de aterrizaje del Experience Cloud.

Cuadro de diálogo de solicitud de permiso de Microsoft con Aceptar resaltado.

IMPORTANT
Si tiene varias Microsoft Azure suscripciones, podría conectar potencialmente su instancia de Platform al almacén de claves incorrecto. En este caso, debe intercambiar la variable common de la URL de autenticación de la aplicación para el ID de directorio CMK.
Copie el ID de directorio CMK de la página Configuración de portal, Directorios y Suscripciones de Microsoft Azure aplicación
El Microsoft Azure página Configuración del portal de la aplicación, Directorios y Suscripciones con el Id. de directorio resaltado.
A continuación, péguelo en la barra de direcciones del explorador.
Una página del explorador Google con la sección "común" de la URL de autenticación de la aplicación resaltada.

Asignar la aplicación CMK a un rol assign-to-role

Después de completar el proceso de autenticación, vuelva a su Azure Key Vault y seleccione Access control en el panel de navegación izquierdo. Desde aquí, seleccione Add seguido de Add role assignment.

El Microsoft Azure panel con Add y Add role assignment resaltado.

La siguiente pantalla le pedirá que elija una función para esta asignación. Seleccionar Key Vault Crypto Service Encryption User antes de seleccionar Next para continuar.

NOTE
Si tiene el Managed-HSM Key Vault , debe seleccionar la variable Managed HSM Crypto Service Encryption User función de usuario.

El Microsoft Azure panel con el Key Vault Crypto Service Encryption User resaltado.

En la pantalla siguiente, elija Select members para abrir un cuadro de diálogo en el carril derecho. Utilice la barra de búsqueda para localizar la entidad de seguridad de servicio de la aplicación CMK y seleccionarla en la lista. Cuando termine, seleccione Save.

NOTE
Si no encuentra su aplicación en la lista, no se ha aceptado su entidad de servicio en su inquilino. Para asegurarse de que tiene los privilegios correctos, trabaje con su Azure administrador o representante.

Puede verificar la aplicación comparando las variables ID de aplicación proporcionado en la Configuración de claves administradas por el cliente ver con el Application ID proporcionado en la Microsoft Azure descripción general de la aplicación.

El Configuración de claves administradas por el cliente ver con el ID de aplicación resaltado.

Todos los detalles necesarios para verificar las herramientas de Azure se incluyen en la interfaz de usuario de Platform. Este nivel de granularidad se proporciona ya que muchos usuarios desean utilizar otras herramientas de Azure para mejorar su capacidad de monitorizar y registrar el acceso de estas aplicaciones a su almacén de claves. Comprender estos identificadores es fundamental para ese fin y para ayudar a los servicios de Adobe a acceder a la clave.

Habilitar la configuración de clave de cifrado en el Experience Platform send-to-adobe

Después de instalar la aplicación CMK en Azure, puede enviar su identificador de clave de cifrado al Adobe. Seleccionar Keys en el panel de navegación izquierdo, seguido del nombre de la clave que desea enviar.

El panel de Microsoft Azure con la variable Keys objeto y el nombre de clave resaltados.

Seleccione la última versión de la clave y aparecerá su página de detalles. Desde aquí puede configurar de forma opcional las operaciones permitidas para la clave.

IMPORTANT
Las operaciones mínimas requeridas que se permiten para la clave son las siguientes Wrap Key y Unwrap Key permisos. Puede incluir Encrypt, Decrypt, Sign, y Verify si quieres.

El Identificador de clave El campo muestra el identificador URI de la clave. Copie este valor de URI para utilizarlo en el siguiente paso.

Los detalles de la clave del panel de Microsoft Azure con la variable Permitted operations y las secciones Copiar URL clave resaltadas.

Una vez que haya obtenido la Key vault URI, vuelva a la Configuración de claves administradas por el cliente ver e introducir un elemento descriptivo Nombre de configuración. A continuación, añada el Key Identifier tomado de la página de detalles de clave de Azure en el Identificador de clave del almacén de claves y seleccione Guardar.

El Configuración de claves administradas por el cliente ver con el Nombre de configuración y el Identificador de clave del almacén de claves secciones resaltadas.

Se le devolverá a la Panel de configuraciones de cifrado. El estado del Claves gestionadas por el cliente la configuración se muestra como Procesando.

El Configuraciones de cifrado panel con Procesando resaltado en la Claves gestionadas por el cliente Tarjeta de.

Verificar el estado de la configuración check-status

Conceda una cantidad de tiempo considerable para el procesamiento. Para comprobar el estado de la configuración, vuelva a la Configuración de claves administradas por el cliente ver y desplazarse hacia abajo hasta el Estado de configuración. La barra de progreso ha avanzado hasta el paso uno de tres y explica que el sistema está validando que Platform tiene acceso a la clave y al almacén de claves.

Hay cuatro estados potenciales de la configuración de CMK. Son las siguientes:

  • Paso 1: Valida que Platform tenga la capacidad de acceder a la clave y al almacén de claves.
  • Paso 2: El almacén de claves y el nombre de clave están en proceso de añadirse a todos los almacenes de datos de su organización.
  • Paso 3: El almacén de claves y el nombre de clave se han añadido correctamente a los almacenes de datos.
  • FAILED: Se ha producido un problema, relacionado principalmente con la clave, el almacén de claves o la configuración de aplicaciones de varios inquilinos.

Pasos siguientes

Al completar los pasos anteriores, ha habilitado correctamente CMK para su organización. Los datos que se incorporan a los almacenes de datos principales ahora se cifran y descifran con las claves de su Azure Key Vault.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5