Configuration et configuration des clés gérées par le client à l’aide de l’API
Ce document couvre le processus d’activation de la fonction de clés gérées par le client (CMK) dans Adobe Experience Platform à l’aide de l’API. Pour plus d’informations sur la façon d’effectuer ce processus à l’aide de l’interface utilisateur, reportez-vous au document de configuration du CMK de l’interface utilisateur.
Conditions préalables
Pour afficher et consulter la section Chiffrement dans Adobe Experience Platform, vous devez avoir créé un rôle et lui avoir attribué l’autorisation Gérer la clé gérée par le client. Tout utilisateur disposant de l’autorisation Gérer la clé gérée par le client peut activer le CMK pour son organisation.
Pour plus d'informations sur l'attribution des rôles et des autorisations en Experience Platform, consultez la documentation sur la configuration des autorisations.
Pour activer le CMK, votre Azure Key Vault doit être configuré avec les paramètres suivants :
Configurer l’application CMK register-app
Une fois que votre coffre-fort de clé est configuré, l’étape suivante consiste à s’enregistrer pour l’application CMK qui se connectera à votre client Azure.
Commencer
L’enregistrement de l’application CMK nécessite que vous exécutiez des appels vers les API Platform. Pour plus d’informations sur la collecte des en-têtes d’authentification requis pour effectuer ces appels, consultez le guide d’authentification des API Platform.
Le guide d’authentification fournit des instructions sur la génération de votre propre valeur unique pour l’en-tête de requête x-api-key
, toutes les opérations API de ce guide utilisent plutôt la valeur statique acp_provisioning
. Cependant, vous devez toujours fournir vos propres valeurs pour {ACCESS_TOKEN}
et {ORG_ID}
.
Dans tous les appels API présentés dans ce guide, platform.adobe.io
est utilisé comme chemin racine, qui correspond par défaut à la région VA7. Si votre organisation utilise une autre région, platform
doit être suivi d’un tiret et du code de région affecté à votre organisation : nld2
pour NLD2 ou aus5
pour AUS5 (par exemple : platform-aus5.adobe.io
). Si vous ne connaissez pas la région de votre entreprise, contactez votre administrateur système.
Récupérer une URL d’authentification fetch-authentication-url
Pour démarrer le processus d’enregistrement, envoyez une requête GET au point d’entrée d’enregistrement de l’application afin de récupérer l’URL d’authentification requise pour votre organisation.
Requête
curl -X GET \
https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}'
Réponse
Une réponse réussie renvoie une propriété applicationRedirectUrl
contenant l’URL d’authentification.
{
"id": "byok",
"name": "acpebae9422Caepcmkmultitenantapp",
"applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
"applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
"applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}
Copiez et collez l’adresse applicationRedirectUrl
dans un navigateur pour ouvrir une boîte de dialogue d’authentification. Sélectionnez Accept pour ajouter le principal de service de l’application CMK à votre client Azure.
Attribuer l’application CMK à un rôle assign-to-role
Une fois le processus d’authentification terminé, revenez au coffre de clés Azure et sélectionnez Access control dans le volet de navigation de gauche. À partir de là, sélectionnez Add, puis Add role assignment.
L’écran suivant vous invite à choisir un rôle pour cette affectation. Sélectionnez Key Vault Crypto Service Encryption User avant de sélectionner Next pour continuer.
Dans l’écran suivant, choisissez Select members pour ouvrir une boîte de dialogue dans le rail de droite. Utilisez la barre de recherche pour localiser le principal de service de l’application CMK et sélectionnez-le dans la liste. Lorsque vous avez terminé, sélectionnez Save.
Activer la configuration de la clé de chiffrement sur Experience Platform send-to-adobe
Après l’installation de l’application CMK sur Azure, vous pouvez envoyer votre identifiant de la clé de chiffrement à Adobe. Sélectionnez Keys dans le volet de navigation de gauche, suivi du nom de la clé à envoyer.
Sélectionnez la dernière version de la clé et sa page de détails s’affiche. À partir de là, vous pouvez éventuellement configurer les opérations autorisées pour la clé.
Le champ Identifiant de clé affiche l’identifiant d’URI de la clé. Copiez cette valeur d’URI à utiliser à l’étape suivante.
Une fois que vous avez obtenu l’URI du coffre de clés, vous pouvez l’envoyer à l’aide d’une requête POST au point d’entrée de configuration du CMK.
Requête
code language-shell |
---|
|
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 | |
---|---|
Propriété | Description |
name |
Un nom pour la configuration. Veillez à mémoriser cette valeur, car il est nécessaire de vérifier l’état de la configuration à une étape ultérieure. La valeur respecte la casse. |
type |
Le type de configuration. Cette propriété doit être définie sur BYOK_CONFIG . |
imsOrgId |
ID d’organisation. Cet identifiant doit être la même valeur que celle fournie sous l’en-tête x-gw-ims-org-id . |
configData |
Cette propriété contient les détails suivants sur la configuration :
|
Réponse
code language-json |
---|
|
Le traitement de la tâche doit être terminé dans les minutes qui suivent.
Vérifiez le statut de la configuration check-status
Pour vérifier le statut de la demande de configuration, vous pouvez effectuer une requête GET.
Requête
Vous devez ajouter le name
de la configuration que vous souhaitez vérifier au chemin d’accès (config1
dans l’exemple ci-dessous) et inclure un paramètre de requête configType
défini sur BYOK_CONFIG
.
code language-shell |
---|
|
Réponse
code language-json |
---|
|
L’attribut status
peut avoir l’une des quatre valeurs ayant la signification suivante :
RUNNING
: vérifie que Platform peut accéder à la clé et à la clé Vault.UPDATE_EXISTING_RESOURCES
: le système ajoute le coffre de clés et le nom des clés aux magasins de données de tous les sandbox de votre entreprise.COMPLETED
: le coffre-fort de la clé et le nom de la clé ont été ajoutés avec succès aux banques de données.FAILED
: un problème s’est produit, principalement lié à la configuration de la clé, du coffre de clés ou de l’application multi-utilisateur.
Étapes suivantes
En suivant les étapes ci-dessus, vous avez activé le CMK pour votre entreprise. Les données ingérées dans les entrepôts de données principaux seront désormais chiffrées et déchiffrées à l’aide des clés de votre Key Vault Azure. Pour en savoir plus sur le cryptage des données dans Adobe Experience Platform, consultez la documentation sur le cryptage.