ドキュメント Experience Platform Experience Platform の概要

顧客管理キー用のAWS KMS の設定

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

作成対象：

開発者
ユーザー
管理者
リーダー

AVAILABILITY

このドキュメントは、Amazon Web Services（AWS）上で動作するExperience Platformの実装に適用されます。 AWS上で動作するExperience Platformは、現在、限られた数のお客様が利用できます。サポートされるExperience Platform インフラストラクチャについて詳しくは、Experience Platform multi-cloud overview を参照してください。

AWSの顧客管理キー（CMK）は、Privacy and Security Shield でサポートされていますが、Healthcare Shield では使用できません。 Azure 上の CMK は、Privacy and Security Shield および Healthcare Shield の両方でサポートされています。

このガイドを使用すると、Adobe Experience Platformの暗号化キーを作成、管理、および制御して、Amazon Web Services（AWS） Key Management Service （KMS）でデータを保護できます。この統合により、コンプライアンスの合理化、自動化によるオペレーションの合理化が実現し、独自の主要管理インフラストラクチャを維持する必要がなくなります。

Customer Journey Analytics固有の手順については、Customer Journey Analytics CMK ドキュメントを参照してください

IMPORTANT

Adobe Experience Platformは、システム管理キーを使用して、デフォルトで保存中のデータを暗号化します。顧客管理キー（CMK）を有効にすると、データのセキュリティを完全に制御できます。ただし、この変更は元に戻せません。CMK が有効になると、システム管理キーに戻すことはできません。キーを安全に管理して、データへの中断のないアクセスを確保し、アクセス不能の可能性を防ぐ責任があります。

AWS KMS を使用すると、Adobe Experience Platformの統合暗号化キー管理によりデータのセキュリティを強化できます。このガイドに従って暗号化キーを作成および管理し、データを確実に保護します。

前提条件 prerequisites

このドキュメントを進める前に、次の主な概念と機能を十分に理解しておく必要があります。

AWS Key Management Service （KMS）：暗号化キーの作成、管理、ローテーションの方法など、AWS KMS の基本事項を説明します。詳しくは、公式の KMS ドキュメントを参照してください。
AWSの IAM （Identity and Access Management）ポリシー: IAM は、AWSのサービスやリソースへのアクセスを安全に管理できるサービスです。 IAM を使用して、次の操作を行います。
- 特定のリソースにアクセスできるユーザー、グループ、役割を定義します。
- ユーザーが実行を許可または拒否するアクションを指定します。
- IAM ポリシーを使用して権限を割り当てることで、きめ細かなアクセス制御を実装します。
  詳しくは、AWS KMS の IAM ポリシーの公式ドキュメントを参照してください。
Experience Platformのデータセキュリティ:Experience Platformでデータセキュリティを確保し、AWS KMS などの外部サービスと統合して暗号化する方法について説明します。 Experience Platformは、転送用の HTTPS TLS v1.2、保存時のクラウドプロバイダー暗号化、分離ストレージ、カスタマイズ可能な認証および暗号化オプションにより、データを保護します。データを保護する方法について詳しくは、governance, privacy, and security overview または Experience Platformでのデータ暗号化に関するドキュメントを参照してください。
AWS Management Console：すべてのAWS サービスに 1 つの web ベースアプリケーションからアクセスして管理できる中央ハブです。検索バーを使用して、ツールの検索、通知の確認、アカウントと請求の管理、設定のカスタマイズをすばやく行います。詳しくは、AWS管理コンソールの公式ドキュメントを参照してください。

基本を学ぶ get-started

このガイドでは、既にAmazon Web Services アカウントにアクセスし、Management Console にアクセスできる必要があります。開始するには、次の手順に従います。

サポートされている地域を選択 select-supported-region

AWS KMS は、特定の地域でご利用いただけます。 KMS がサポートされている地域で操作していることを確認してください。サポートされているリージョンの一覧は、AWS KMS エンドポイントとクォータの一覧で確認できます。

AWS KMS 暗号化キーがAdobe Experience Platform インスタンスと同じリージョンにあることを確認して、データレジデンシー要件へのコンプライアンスを維持し、パフォーマンスを最適化し、リージョン間の追加コストを回避します。領域の位置がずれると、データにアクセスできなくなったり、統合に失敗したりする可能性があります。

権限の検証 verify-permissions

KMS 内で暗号化キーを作成、管理、使用するために必要なAWS IAM （Identity and Access Management）権限があることを確認します。権限を確認するには：

IAM ポリシーシミュレーターにアクセスします。
ユーザーアカウントまたは役割を選択します。
kms:CreateKey や kms:Encrypt などの KMS アクションをシミュレートします。

シミュレーションでエラーが返された場合や、権限が不明な場合は、AWS管理者に問い合わせてください。

AWS アカウントの設定の確認

AWS アカウントでAWS KMS サービスの使用が有効になっていることを確認します。ほとんどのアカウントでは、デフォルトで KMS アクセスが有効になっていますが、AWS Management Console にアクセスして、アカウントの設定を確認できます。詳しくは、AWS Key Management Service デベロッパーガイドを参照してください。

AWS KMS に移動して、主要な設定を開始します

暗号化キーの設定と管理を開始するには、AWS アカウントにログインし、AWS Key Management Service （KMS）に移動します。 AWS Management Console で、サービスメニューから Key Management Service （KMS） を選択します。

キー管理サービスがハイライト表示されたAWS Management Console の「検索」ドロップダウンメニュー。

新しいキーの作成 create-a-key

IMPORTANT

暗号化キーの安全な保存、アクセス、可用性を確保します。キーを管理し、Experience Platformの操作が中断されるのを防ぐ責任があります。

Key Management Service (KMS) ワークスペースで、「Create a key」を選択します。

「キーの作成」がハイライト表示されたキーマネジメントサービスワークスペース

キー設定を指定 configure-key

Configure Key ワークフローが表示されます。デフォルトでは、キーの種類は Symmetric に設定され、キーの使用法は Encrypt and Decrypt に設定されます。続行する前に、これらのオプションが選択されていることを確認します。

「対称」および「暗号化と復号化」の基本オプションがハイライト表示されたキーワークフローの設定手順 1。

Advanced options ドロップダウンメニューを展開します。 AWSで主要な資料を作成および管理できる KMS オプションを使用することをお勧めします。デフォルトでは、「KMS」オプションが選択されています。

NOTE

既存のキーがある場合は、外部キーマテリアルを読み込むか、AWS CloudHSM キーストアを使用できます。これらのオプションについては、このドキュメントの範囲では説明しません。

次に、キーの領域範囲を指定する Regionality 設定を選択します。「Single-Region key」、「Next」の順に選択して、手順 2 に進みます。

IMPORTANT

AWSでは、KMS キーの地域に関する制限が適用されます。つまり、キーはAdobe アカウントと同じリージョンにある必要があります。 Adobeは、お使いのアカウントの地域内にある KMS キーにのみアクセスできます。選択した地域が、Adobe シングルテナントアカウントの地域と一致していることを確認してください。

AWS地域、KMS、単一地域のキーの詳細オプションがハイライト表示されたキーワークフローの手順 1。

キーにラベルを付けてタグ付け add-labels-and-tags-to-key

2 番目に、ワ Add labels クフローのステージが表示されます。ここでは、AWS KMS コンソールで暗号化キーを管理および見つけるのに役立つ Alias および Tags フィールドを設定します。

キー入力フィールドに、キーのわかりやすいラベルを Alias 力します。エイリアスは、AWS KMS コンソールの検索バーを使用してキーをすばやく見つけるために、ユーザーにわかりやすい識別子として機能します。混乱を防ぐには、「Adobe-Experience-Platform-Key」や「Customer-Encryption-Key」など、キーの目的を反映した意味のある名前を選択します。また、鍵のエイリアスが目的を説明するのに不十分な場合は、鍵の説明を含めることもできます。

最後に、「Tags」セクションでキーと値のペアを追加して、キーにメタデータを割り当てます。この手順はオプションですが、管理を容易にするために、AWS リソースの分類およびフィルタリングにタグを追加する必要があります。例えば、組織で複数のAdobe関連リソースを使用している場合は、「Adobe」または「Experience-Platform」でタグ付けできます。この追加の手順により、AWS Management Console で、関連するすべてのリソースを簡単に検索して管理できます。「Add tag」を選択してプロセスを開始します。

設定に問題がなければ、「Next」を選択してワークフローを続行します。

エイリアス、説明、タグ、次へがハイライト表示されたキーワークフローの手順 2。

主な管理権限の定義 define-key-admins

キー作成ワークフローの手順 3 が表示されます。安全で制御されたアクセスを確保するために、鍵を管理できる IAM ユーザーとロールを選択できます。この段階では、Key administrators と Key deletion の 2 つのオプションがあります。 Key administrators セクションで、このキーに対する管理者権限を付与するユーザーまたはロールの名前の横にある 1 つ以上のチェックボックスを選択します。

NOTE

ワークフローのこの段階では管理者を作成できません。

「Key deletion」セクションで、キー管理者にこのキーを削除する権限を許可するチェックボックスを有効にします。チェックボックスをオフにすると、管理者ユーザーはその操作を実行できません。

「Next」を選択して、ワークフローを続行します。

チェックボックスと「次へ」がハイライト表示された、ワークフローの主要な管理権限を定義ステージ。

主要なユーザーへのアクセス権の付与 assign-key-users

ワークフローの手順 4 で、次の操作を Define key usage permissions 行できます。 Key users リストから、このキーを使用するアクセス許可を与えるすべての IAM ユーザーとロールのチェックボックスを選択します。

このビューから、を Add another AWS account くこともできますが、他のAWS アカウントを追加することは強くお勧めしません。別のアカウントを追加すると、リスクが生じ、暗号化および復号化操作の権限管理が複雑になる可能性があります。 Adobeは、1 つのAWS アカウントに関連付けられたキーを保持することで、AWS KMS との安全な統合を確保し、リスクを最小限に抑え、信頼性の高い運用を確保します。

「Next」を選択して、ワークフローを続行します。

チェックボックスと「次へ」がハイライト表示された、ワークフローの主な使用権限の定義段階。