Chiavi gestite dal cliente in Adobe Experience Platform
I dati memorizzati su Adobe Experience Platform vengono crittografati a riposo utilizzando chiavi a livello di sistema. Se utilizzi un’applicazione basata su Experience Platform, puoi scegliere di utilizzare le tue chiavi di crittografia, per un maggiore controllo sulla sicurezza dei dati.
Questo documento fornisce una panoramica di alto livello del processo di abilitazione della funzione Customer Managed Keys (CMK) in Experience Platform in Azure e AWS, insieme alle informazioni sui prerequisiti necessari per completare questi passaggi.
Prerequisiti
Per abilitare CMK, l'ambiente di hosting della piattaforma (Azure o AWS) deve soddisfare requisiti di configurazione specifici:
Prerequisiti generali
Per visualizzare e accedere alla sezione Crittografia in Adobe Experience Platform, è necessario aver creato un ruolo e aver assegnato a tale ruolo l'autorizzazione Gestisci chiave gestita dal cliente. Qualsiasi utente con l'autorizzazione Gestisci chiave gestita dal cliente può abilitare la CMK per la propria organizzazione.
Per ulteriori informazioni sull'assegnazione di ruoli e autorizzazioni in Experience Platform, consulta la documentazione sulla configurazione delle autorizzazioni.
Prerequisiti specifici di Azure
Per le implementazioni ospitate da Azure, configurare l'insieme di credenziali delle chiavi Azure con le impostazioni seguenti:
Prerequisiti specifici per AWS
Per le implementazioni ospitate su AWS, configura l’ambiente AWS come segue:
- Assicurati di disporre delle autorizzazioni necessarie per gestire le chiavi di crittografia tramite AWS Identity and Access Management (IAM). Per informazioni dettagliate, vedere Criteri IAM per AWS KMS.
- Configura AWS KMS con supporto per CMK. Consulta la Guida alla crittografia dei dati di AWS KMS.
Riepilogo del processo process-summary
Customer Managed Keys (CMK) è disponibile tramite le offerte di Adobe Healthcare Shield e Privacy and Security Shield. In Azure, la CMK è supportata sia per Healthcare Shield che per Privacy e Security Shield. In AWS, la CMK è supportata solo per Privacy e Security Shield e non è disponibile per Healthcare Shield. Una volta che la tua organizzazione ha acquistato una licenza per una di queste offerte, puoi iniziare il processo di configurazione una tantum per abilitare la CMK.
Il processo è il seguente:
Per Azure azure-process-summary
- Configura un Azure Key Vault in base ai criteri della tua organizzazione, quindi genera una chiave di crittografia da condividere con Adobe.
- Configura l'app CMK con il tuo tenant Azure tramite chiamate API o la interfaccia utente.
- Invia l'ID della chiave di crittografia ad Adobe e avvia il processo di abilitazione per la funzione, nell'interfaccia utente o con una chiamata API.
- Controllare lo stato della configurazione per verificare se CMK è stato abilitato, nell'interfaccia utente o con una chiamata API.
Una volta completato il processo di installazione per le istanze Experience Platform ospitate da Azure, tutti i dati inseriti in Experience Platform in tutte le sandbox verranno crittografati utilizzando l'installazione della chiave Azure. Per utilizzare CMK, sfrutterai la funzionalità Microsoft Azure che potrebbe far parte del programma di anteprima pubblico.
Per AWS aws-process-summary
- Configura AWS KMS configurando una chiave di crittografia da condividere con Adobe.
- Segui le istruzioni specifiche di AWS nella Guida alla configurazione dell'interfaccia utente.
- Convalida la configurazione per verificare che i dati di Experience Platform siano crittografati utilizzando la chiave ospitata da AWS.
Una volta completato il processo di configurazione per le istanze Experience Platform ospitate da AWS, tutti i dati inseriti in Experience Platform in tutte le sandbox verranno crittografati utilizzando la configurazione del servizio di gestione delle chiavi di AWS. Per utilizzare la CMK in AWS, puoi utilizzare il servizio AWS Key Management per creare e gestire le chiavi di crittografia in linea con i requisiti di sicurezza della tua organizzazione.
Implicazioni della revoca dell'accesso alla chiave revoke-access
La revoca o la disabilitazione dell’accesso all’insieme di credenziali delle chiavi, alla chiave o all’app CMK in Azure o alla chiave di crittografia in AWS può causare interruzioni significative, tra cui l’interruzione delle modifiche alle operazioni di Experience Platform. Una volta che le chiavi sono disabilitate, i dati in Experience Platform possono diventare inaccessibili e tutte le operazioni a valle che si basano su tali dati cesseranno di funzionare. È fondamentale comprendere appieno gli impatti a valle prima di apportare qualsiasi modifica alle configurazioni chiave.
Per revocare l'accesso Experience Platform ai dati in Azure, rimuovere il ruolo utente associato all'applicazione dall'insieme di credenziali delle chiavi. Per AWS, puoi disabilitare la chiave o aggiornare l’istruzione dei criteri. Per istruzioni dettagliate sul processo di AWS, consulta la sezione di revoca della chiave.
Timeline di propagazione propagation-timelines
Dopo la revoca dell'accesso alla chiave dall'insieme di credenziali delle chiavi Azure, le modifiche verranno propagate come segue:
Ad esempio, il dashboard Profilo continuerà a visualizzare i dati dalla cache fino a sette giorni prima della scadenza e verrà aggiornato. Analogamente, la riabilitazione dell’accesso all’applicazione richiede la stessa quantità di tempo per ripristinare la disponibilità dei dati in questi archivi.
Passaggi successivi
Per iniziare il processo:
- Per Azure: iniziare configurando un Azure Key Vault e generare una chiave di crittografia da condividere con Adobe.
- Per AWS: Configura AWS KMS e assicurati che le configurazioni di IAM e KMS siano corrette prima di procedere alle guide di configurazione dell'interfaccia utente o dell'API.