API を使用した顧客管理キーの設定と設定
このドキュメントでは、API を使用してAdobe Experience Platformで顧客管理キー(CMK)機能を有効にするプロセスについて説明します。 UI を使用してこのプロセスを完了する手順については、UI CMK 設定ドキュメントを参照してください。
前提条件
Adobe Experience Platformの「 暗号化 」セクションを表示および訪問するには、役割を作成し、その役割に 顧客管理キーの管理 権限を割り当てておく必要があります。 顧客管理キーの管理 権限を持つユーザーは組織で CMK を有効にできます。
Experience Platformでの役割と権限の割り当てについて詳しくは、 権限の設定に関するドキュメントを参照してください。
CMK を有効にするには、次の設定で Azure Key Vault を設定する必要があります。
CMK アプリのセットアップ register-app
Key Vault を設定したら、次の手順は、Azure テナントにリンクする CMK アプリケーションを登録します。
はじめに
CMK アプリを登録するには、Platform API を呼び出す必要があります。 これらの呼び出しを行うために必要な認証ヘッダーの収集方法について詳しくは、Platform API 認証ガイドを参照してください。
認証ガイドでは、必要である x-api-key リクエストヘッダーに独自の一意の値を生成する方法を説明していますが、このガイドのすべての API 操作では、代わりに、静的な値 acp_provisioning が使用されます。ただし、{ACCESS_TOKEN} と {ORG_ID} には独自の値を指定する必要があります。
このガイドに記載されているすべての API 呼び出しでは、platform.adobe.io がルートパスとして使用されます。デフォルトは VA7 リージョンです。 組織で異なる地域を使用している場合は、platform の後に、組織に割り当てられたダッシュと地域コードを付ける必要があります。NLD2 の場合は nld2、AUS5 の場合は aus5 です(例:platform-aus5.adobe.io)。 組織の地域がわからない場合は、システム管理者に問い合わせてください。
認証 URL の取得 fetch-authentication-url
登録プロセスを開始するには、アプリ登録エンドポイントに対して GET リクエストを実行し、組織に必要な認証 URL を取得します。
リクエスト
curl -X GET \
https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
-H 'Authorization: Bearer {ACCESS_TOKEN}' \
-H 'x-api-key: acp_provisioning' \
-H 'x-gw-ims-org-id: {ORG_ID}'
応答
成功した応答は、認証 URL を含む applicationRedirectUrl プロパティを返します。
{
"id": "byok",
"name": "acpebae9422Caepcmkmultitenantapp",
"applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
"applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
"applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}
applicationRedirectUrl アドレスをコピーしてブラウザーに貼り付け、認証ダイアログを開きます。Accept を選択して、CMK アプリサービスプリンシパルを Azure テナントに追加します。
CMK アプリを役割に割り当てます。 assign-to-role
認証プロセスが完了したら、Azure Key Vault に戻り、左側のナビゲーションで Access control を選択します。 ここから Add を選択し、続けて Add role assignment を選択します。
次の画面では、この割り当ての役割を選択するように求められます。Key Vault Crypto Service Encryption User を選択してから Next を選択し、続行します。
次の画面で、「Select members」 を選択して、右側のパネルでダイアログを開きます。 検索バーを使用して CMK アプリケーションのサービスプリンシパルを見つけ、リストから選択します。 終了したら「Save」を選択します。
Experience Platform の暗号化キー設定を有効にする send-to-adobe
CMK アプリを Azure にインストールすると、暗号化キー識別子をアドビに送信できます。 左側のナビゲーションで「Keys」を選択し、次に送信するキーの名前を選択します。
キーの最新バージョンを選択すると、その詳細ページが表示されます。ここから、オプションでキーに対して許可する操作を設定できます。
「キー識別子」フィールドには、キーの URI 識別子が表示されます。次の手順で使用するために、この URI 値をコピーします。
Key Vault の URI を取得したら、POST リクエストを使用して CMK 設定エンドポイントに送信できます。
リクエスト
| code language-shell |
|---|
|
| table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 | |
|---|---|
| プロパティ | 説明 |
name |
設定の名前。この値は、 後の手順で設定のステータスを確認する際に必要なため、覚えておいてください。 この値は、大文字と小文字を区別します。 |
type |
設定タイプ。 BYOK_CONFIG に設定する必要があります。 |
imsOrgId |
組織 ID。 この ID は、x-gw-ims-org-id ヘッダーで指定される値と同じである必要があります。 |
configData |
このプロパティには、設定に関する次の詳細が含まれています。
|
応答
| code language-json |
|---|
|
このジョブは、数分以内に処理を完了する必要があります。
設定のステータスの確認 check-status
設定リクエストのステータスを確認するには、GET リクエストを実行します。
リクエスト
確認する設定の name をパスに追加し(以下の例では config1)、BYOK_CONFIG に設定された configType クエリパラメーターを含める必要があります。
| code language-shell |
|---|
|
応答
| code language-json |
|---|
|
この status 属性には、次の意味を持つ 4 つの値のいずれかを指定できます。
RUNNING: Platform がキーと Key Vault にアクセスできることを検証します。UPDATE_EXISTING_RESOURCES:システムは、組織内のすべてのサンドボックスのデータストアに Key Vault とキー名を追加しています。COMPLETED: Key Vault とキー名が正常にデータストアに追加されました。FAILED:問題が発生しました。主にキー、Key Vault、またはマルチテナントのアプリ設定に関連しています。
次の手順
上記の手順を完了すると、組織で CMK が正常に有効になります。 プライマリデータストアに取り込まれたデータは、Azure Key Vault のキーを使用して暗号化および復号化されるようになりました。 Adobe Experience Platformでのデータ暗号化について詳しくは、 暗号化ドキュメントを参照してください。