Clés gérées par le client dans Adobe Experience Platform
Les données stockées sur Adobe Experience Platform sont chiffrées au repos à l’aide de clés au niveau du système. Si vous utilisez une application reposant sur Platform, vous pouvez choisir d’utiliser vos propres clés de chiffrement pour mieux contrôler la sécurité de vos données.
Ce document présente de manière générale le processus d’activation de la fonctionnalité Clés gérées par le client (CMK) dans Platform sur Azure et AWS, ainsi que les informations préalables requises pour réaliser ces étapes.
Conditions préalables
Pour activer la fonction CMK, l’environnement d’hébergement de votre plateforme (Azure ou AWS) doit répondre à des exigences de configuration spécifiques :
Conditions préalables générales
Pour afficher la section Chiffrement dans Adobe Experience Platform et y accéder, vous devez avoir créé un rôle et attribué l’autorisation Gérer les clés gérées par le client à ce rôle. Tout utilisateur disposant de l’autorisation Gérer les clés gérées par le client peut activer la fonction CMK pour son organisation.
Pour plus d’informations sur l’attribution de rôles et d’autorisations dans Experience Platform, reportez-vous à la documentation sur la configuration des autorisations.
Conditions préalables spécifiques à Azure
Pour les implémentations hébergées sur Azure, configurez votre coffre de clés Azure avec les paramètres suivants :
Conditions préalables spécifiques à AWS
Pour les implémentations hébergées par AWS, configurez votre environnement AWS comme suit :
- Assurez-vous de disposer des autorisations nécessaires pour gérer les clés de chiffrement à l’aide de la gestion des identités et des accès (IAM) AWS. Pour plus d’informations, consultez la section Politiques IAM pour AWS KMS.
- Configurez AWS KMS avec la prise en charge de la fonction CMK. Reportez-vous au guide Chiffrement des données AWS KMS.
Résumé du processus process-summary
Les clés gérées par le client (CMK) sont disponibles via les offres Healthcare Shield et Privacy and Security Shield d’Adobe. Sur Azure, la fonction CMK est prise en charge pour Healthcare Shield et Privacy and Security Shield. Sur AWS, la fonction CMK est prise en charge uniquement pour Privacy and Security Shield et n’est pas disponible pour Healthcare Shield. Une fois que votre entreprise a acheté une licence pour l’une de ces offres, vous pouvez lancer le processus de configuration unique pour activer le CMK.
Le processus se présente comme suit :
Pour Azure azure-process-summary
- Configurez un Azure coffre Key Vault en fonction des politiques de votre entreprise, puis générez une clé de chiffrement à partager avec Adobe.
- Configurez l’application CMK avec votre client Azure par le biais des appels d’API ou de l’interface utilisateur.
- Envoyez votre ID de clé de chiffrement à l’Adobe et démarrez le processus d’activation de la fonctionnalité, soit dans l’interface utilisateur soit avec un appel API.
- Vérifiez le statut de la configuration pour vous assurer que la fonction CMK a été activée, soit dans l’interface utilisateur soit avec un appel API.
Une fois le processus de configuration terminé pour les instances de Platform hébergées sur Azure, toutes les données intégrées à Platform dans l’ensemble des sandbox seront chiffrées à l’aide de votre configuration de clé Azure. Pour vous servir de la fonction CMK, vous utiliserez la fonctionnalité Microsoft Azure pouvant faire partie de leur programme de préversion publique.
Pour AWS aws-process-summary
- Configurez AWS KMS en configurant une clé de chiffrement à partager avec Adobe.
- Suivez les instructions spécifiques à AWS dans le guide de configuration de l’interface utilisateur.
- Validez la configuration pour confirmer que les données Platform sont chiffrées à l’aide de la clé hébergée sur AWS.
Une fois le processus de configuration terminé pour les instances de Platform hébergées par AWS, toutes les données intégrées à Platform dans l’ensemble des sandbox seront chiffrées à l’aide de votre configuration du service de gestion des clés (KMS) AWS. Pour utiliser la fonction CMK sur AWS, vous utiliserez le service de gestion des clés AWS afin de créer et de gérer vos clés de chiffrement conformément aux exigences de sécurité de votre entreprise.
Implications de la révocation de l’accès aux clés revoke-access
La révocation ou la désactivation de l’accès au coffre de clés, à la clé ou à l’application CMK dans Azure ou à la clé de chiffrement dans AWS peut entraîner des perturbations importantes, notamment des modifications avec rupture des opérations de votre plateforme. Une fois les clés désactivées, les données de Platform peuvent devenir inaccessibles et toutes les opérations en aval qui reposent sur ces données cesseront de fonctionner. Il est essentiel de bien comprendre les impacts en aval avant d’apporter des modifications à vos configurations clés.
Pour révoquer l’accès de Platform à vos données dans Azure, supprimez le rôle d’utilisateur associé à l’application du coffre de clés. Pour AWS, vous pouvez désactiver la clé ou mettre à jour l’instruction de politique. Pour obtenir des instructions détaillées sur le processus AWS, reportez-vous à la section révocation des clés.
Chronologies de propagation propagation-timelines
Une fois l’accès à la clé révoqué de votre coffre de clés Azure, les modifications se propageront comme suit :
Par exemple, le tableau de bord du profil continuera à afficher les données de son cache pendant sept jours au maximum avant l’expiration des données et sera actualisé. De même, la réactivation de l’accès à l’application prend le même temps pour restaurer la disponibilité des données dans ces magasins.
Étapes suivantes
Pour lancer le processus :
- Pour Azure : commencez par configurer un coffre Azure Key Vault et générer une clé de chiffrement à partager avec Adobe.
- Pour AWS : Configurez AWS KMS et assurez-vous que les configurations IAM et KMS sont appropriées avant de passer aux guides de configuration de l’interface utilisateur ou de l’API.