DocumentazioneAEMGuida utente

Impostazione delle chiavi gestite dal cliente per AEM as a Cloud Service customer-managed-keys-for-aem-as-a-cloud-service

Ultimo aggiornamento: 3 settembre 2025
  • Si applica a:
  • Experience Manager as a Cloud Service

Creato per:

  • Admin

AEM as a Cloud Service attualmente memorizza i dati dei clienti nell’archiviazione BLOB di Azure e MongoDB, utilizzando, per impostazione predefinita, le chiavi di crittografia gestite dal provider per proteggere i dati. Sebbene questa configurazione soddisfi le esigenze di sicurezza di molte organizzazioni, le aziende dei settori regolamentati o che richiedono una maggiore sicurezza dei dati richiedono un maggiore controllo sulle pratiche di crittografia. Per le organizzazioni che danno priorità alla sicurezza dei dati, alla conformità e alla capacità di gestire le proprie chiavi di crittografia, la soluzione CMK (Customer-Managed Keys, chiavi gestite dal cliente) offre un miglioramento fondamentale.

NOTE
Prima di configurare l’insieme di credenziali delle chiavi di Azure, devi abilitare la CMK per il programma Cloud Service in Cloud Manager. CMK è abilitato nella scheda Protezione durante la creazione del programma di produzione o la modifica di un programma esistente.
Consulta Creare programmi di produzione o Modificare programmi.

Scopo della soluzione the-problem-being-solved

Le chiavi gestite dal provider possono creare problemi per le aziende che richiedono maggiore privacy e integrità. Senza il controllo sulla gestione principale, le organizzazioni devono risolvere il problema di soddisfare i requisiti di conformità, implementare regole di sicurezza personalizzate e garantire la completa sovranità dei dati.

L’introduzione di CMK (Customer-Managed Keys) risolve questi problemi consentendo ai clienti AEM di avere pieno controllo sulle chiavi di crittografia. Autenticando tramite Microsoft Entra ID (precedentemente Azure Active Directory), AEM CS si connette in modo sicuro all’insieme di credenziali delle chiavi Azure del cliente, consentendo loro di gestire il ciclo di vita delle chiavi di crittografia, incluse la creazione, la rotazione e la revoca delle chiavi.

CMK offre diversi vantaggi:

  • Gestione crittografia dati e applicazioni: Aumenta la sicurezza con la governance diretta dell’applicazione AEM e delle chiavi di crittografia dei dati.
  • Migliorare la riservatezza e l’integrità: Ridurre la probabilità di accesso e divulgazione involontari di dati sensibili o proprietari con una gestione completa della crittografia.
  • Supporto di Azure Key Vault: L’utilizzo di Azure Key Vault consente l’archiviazione delle chiavi, l’elaborazione delle operazioni segrete e l’esecuzione di rotazioni delle chiavi.

Adottando la CMK, i clienti possono aumentare il controllo sulle procedure di sicurezza e crittografia dei dati, migliorando la sicurezza e riducendo i rischi, mantenendo al contempo la scalabilità e la flessibilità di AEM CS.

AEM as a Cloud Service consente di utilizzare chiavi di crittografia personalizzate per crittografare i dati inattivi. Questa guida descrive i passaggi necessari per impostare una chiave gestita dal cliente (CMK) in Azure Key Vault per AEM as a Cloud Service.

WARNING
Dopo aver configurato CMK, non è possibile ripristinare le chiavi gestite dal sistema. L’utente è responsabile della gestione sicura delle chiavi e della gestione degli accessi all’insieme di credenziali delle chiavi, alla chiave e all’app CMK in Azure per evitare di perdere l’accesso ai dati.

Questa guida descrive i passaggi seguenti per la creazione e la configurazione dell’infrastruttura richiesta:

  1. Configurare l’ambiente
  2. Ottenere un ID applicazione da Adobe
  3. Creare un nuovo gruppo di risorse
  4. Creare un Key Vault
  5. Concedere ad Adobe l’accesso al Key Vault
  6. Creare una chiave di crittografia

È necessario condividere con Adobe l’URL dell’insieme di credenziali delle chiavi, il nome della chiave di crittografia e le informazioni sull’insieme di credenziali delle chiavi.

Configurare l’ambiente setup-your-environment

L’interfaccia CLI (Command Line Interface) di Azure è l’unico requisito per questa guida. Se Azure CLI non è già installato, segui le istruzioni di installazione ufficiali qui.

Prima di continuare con il resto di questa guida, accedi alla CLI con az login.

NOTE
Anche se questa guida utilizza Azure CLI, è possibile eseguire le stesse operazioni tramite la console Azure. Se preferisci utilizzare la console Azure, utilizza i comandi seguenti come riferimento.

Avviare il processo di configurazione CMK per AEM as a Cloud Service request-cmk-for-aem-as-a-cloud-service

Devi richiedere la configurazione di Customer Managed Keys (CMK) per il tuo ambiente AEM as a Cloud Service tramite l’interfaccia utente. A questo scopo, passa all’interfaccia utente di AEM Home Security, nella sezione Chiavi gestite dal cliente.
Puoi quindi avviare il processo di onboarding facendo clic sul pulsante Avvia onboarding.

Avviare l’onboarding di un sito web utilizzando l’interfaccia utente di CMK

Ottenere un ID applicazione da Adobe obtain-an-application-id-from-adobe

Dopo aver avviato il processo di onboarding, Adobe fornisce un ID applicazione Entra. Questo ID applicazione è necessario per il resto della guida e crea un’entità servizio che consente ad Adobe di accedere all’insieme di credenziali delle chiavi. Se non disponi già di un ID applicazione, attendi che Adobe lo fornisca.

È in corso l’elaborazione della richiesta. Attendi che Adobe fornisca l’ID applicazione Entra

Una volta completata la richiesta, l’ID applicazione viene visualizzato nell’interfaccia utente di CMK.

L’ID applicazione Entra è fornito da Adobe

Creare un nuovo gruppo di risorse create-a-new-resource-group

Crea un nuovo gruppo di risorse in una posizione a tua scelta.

# Choose a location and a name for the resource group.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Create the resource group.
az group create --location $location --resource-group $resourceGroup

Se disponi già di un gruppo di risorse, utilizzalo al suo posto. Nel resto di questa guida, la posizione del gruppo di risorse e il suo nome sono identificati rispettivamente con $location e $resourceGroup.

Creare un Key Vault create-a-key-vault

Crea un archivio chiavi per contenere la chiave di crittografia. Nell’insieme di credenziali delle chiavi deve essere abilitata la protezione da eliminazione. La protezione da eliminazione è necessaria per crittografare i dati a riposo da altri servizi Azure. È necessario abilitare anche l’accesso alla rete pubblica per garantire che i servizi Adobe possano accedere al Key Vault.

IMPORTANT
La disabilitazione dell'accesso alla rete pubblica per l'insieme di credenziali delle chiavi richiede l'esecuzione di operazioni quali la creazione o la rotazione di chiavi da un ambiente con accesso alla rete per l'insieme di credenziali delle chiavi. Ad esempio, una VM che può accedere all'insieme di credenziali delle chiavi.
# Reuse this information from the previous step.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Choose a name for the key vault.
$keyVaultName="<KEY VAULT NAME>"

# Create the key vault.
az keyvault create `
  --location $location `
  --resource-group $resourceGroup `
  --name $keyVaultName `
  --default-action=Allow `
  --enable-purge-protection `
  --enable-rbac-authorization `
  --public-network-access Enabled

Concedere ad Adobe l’accesso al Key Vault grant-adobe-access-to-the-key-vault

In questo passaggio, consenti ad Adobe di accedere all’archivio chiavi tramite un’applicazione Entra. Adobe avrebbe dovuto fornire già l’ID dell’applicazione Entra.

Innanzitutto, devi creare un’entità servizio collegata all’applicazione Entra e assegnarle i ruoli Key Vault Reader e Key Vault Crypto User. I ruoli sono limitati al Key Vault creato in questa guida.

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# The application ID is provided by Adobe.
$appId="<APPLICATION ID>"

# Retrieve the ID of the key vault.
$keyVaultId=(az keyvault show --resource-group $resourceGroup --name $keyVaultName --query id --output tsv)

# Create a new service principal.
$servicePrincipalId=(az ad sp create --id $appId --query id --out tsv)

# Assign the roles to the service principal.
az role assignment create --assignee $servicePrincipalId --role "Key Vault Reader" --scope $keyVaultId
az role assignment create --assignee $servicePrincipalId --role "Key Vault Crypto User" --scope $keyVaultId

Creare una chiave di crittografia create-an-encryption-key

Infine, puoi creare una chiave di crittografia nel Key Vault. Per completare questo passaggio, è necessario il ruolo di Key Vault Crypto Officer. Se l’utente connesso non dispone di questo ruolo, contattare l’amministratore di sistema. In alternativa, chiedi a una persona che ha già quel ruolo di completare questo passaggio per te.

Per creare la chiave di crittografia è necessario l’accesso di rete al Key Vault. Verifica innanzitutto di poter accedere al Key Vault e di procedere con la creazione della chiave:

# Reuse this information from the previous steps.
$keyVaultName="<KEY VAULT NAME>"

# Choose a name for your key.
$keyName="<KEY NAME>"

# Create the key.
az keyvault key create --vault-name $keyVaultName --name $keyName

Condividere le informazioni di insieme di credenziali delle chiavi share-the-key-vault-information

A questo punto, la configurazione è completa. Condividi le informazioni richieste tramite l’interfaccia utente di CMK, che avvia il processo di configurazione dell’ambiente.

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# Retrieve the URL of your key vault.
$keyVaultUri=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.vaultUri `
    --output tsv)

# In addition we would need the tenantId and the subscriptionId in order to setup the connection.
$tenantId=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.tenantId `
    --output tsv)
$subscriptionId="<Subscription ID>"

Fornisci queste informazioni nell’interfaccia utente della CMK:
Inserisci le informazioni nell'interfaccia utente

Implicazioni della revoca dell’accesso alla chiave implications-of-revoking-key-access

La revoca o la disabilitazione dell’accesso all’app Key Vault, key o CMK può causare interruzioni operative significative nell’ambiente AEM as a Cloud Service. Una volta che queste chiavi sono disabilitate, i dati in AEM as a Cloud Service diventano inaccessibili e tutte le operazioni a valle che si basano su questi dati cessano di funzionare. È fondamentale comprendere i potenziali impatti prima di apportare qualsiasi modifica alle configurazioni chiave.

Se decidi di revocare l’accesso di AEM as a Cloud Service ai tuoi dati, puoi farlo rimuovendo il ruolo utente associato all’applicazione dall’insieme di credenziali delle chiavi in Azure.

Passaggi successivi next-steps

Dopo aver fornito le informazioni richieste nell’interfaccia utente della CMK, Adobe avvia il processo di configurazione per l’ambiente AEM as a Cloud Service. Questo processo richiede tempo e ricevi una notifica al termine.

Attendi che Adobe configuri l’ambiente.

Completare la configurazione della CMK complete-the-cmk-setup

Una volta completato il processo di configurazione, puoi visualizzare lo stato della configurazione della CMK nell’interfaccia utente. È inoltre possibile visualizzare l’insieme di credenziali delle chiavi e la chiave di crittografia.
Il processo in è ora completato

Domande e supporto questions-and-support

Contatta Adobe in caso di domande, richieste o assistenza sulla configurazione di Chiavi gestite dal cliente per AEM as a Cloud Service. Il supporto Adobe soddisfa tutte le tue domande.

recommendation-more-help
experience-manager-cloud-service-help-main-toc