Customer Managed Keys用のAWS KMSの設定

このガイドでは、Adobe Experience Platformの暗号化キーを作成、管理、制御することで、Amazon Web Services（AWS） Key Management Service （KMS）でデータを保護する方法を説明します。 この統合により、コンプライアンスの簡素化、自動化による運用の合理化、独自の主要管理インフラストラクチャを維持する必要性がなくなります。

Customer Journey Analytics固有の手順については、Customer Journey Analytics CMK ドキュメント ​を参照してください

AWS KMSを使用すれば、Adobe Experience Platformの暗号化キーを一元管理し、データのセキュリティを強化できます。 このガイドに従って、暗号化キーを作成および管理し、データを確実に保護します。

前提条件 prerequisites

このドキュメントを続ける前に、次の主要な概念と機能について十分に理解しておく必要があります。

基本を学ぶ get-started

このガイドでは、Amazon Web Services アカウントへのアクセス権と管理コンソールへのアクセス権を既に持っている必要があります。 次の手順に従って開始してください。

サポートされている地域を選択 select-supported-region

AWS KMSは、特定の地域で利用できます。 KMSがサポートされている地域で操作していることを確認してください。 サポートされているリージョンの完全なリストは、AWS KMS エンドポイントおよびクォータ リスト ​で確認できます。

AWS KMS暗号化キーがAdobe Experience Platform インスタンスと同じリージョンにあることを確認して、データレジデンシー要件への準拠を維持し、パフォーマンスを最適化し、リージョン間の追加コストを回避します。 地域が調整されていない場合、データにアクセスできなくなり、統合に失敗する可能性があります。

権限の確認 verify-permissions

KMS内で暗号化キーを作成、管理、使用するために必要なAWS Identity and Access Management （IAM）権限があることを確認します。 権限を確認するには：

シミュレーションでエラーが返された場合、または権限がわからない場合は、AWS管理者にお問い合わせください。

AWS アカウント設定を確認する

AWS アカウントでAWS KMS サービスの使用が有効になっていることを確認します。 ほとんどのアカウントでは、デフォルトでKMS アクセスが有効になっていますが、AWS Management Consoleにアクセスして、アカウント設定を確認できます。 詳しくは、AWS Key Management Service開発者ガイド ​を参照してください。

AWS KMSに移動して、キー設定を開始します

暗号化キーの設定と管理を開始するには、AWS アカウントにログインし、AWS Key Management Service （KMS）に移動します。 AWS Management Consoleで、サービスメニューから「Key Management Service （KMS）」を選択します。

新しいキーを作成 create-a-key

Key Management Service (KMS) ワークスペースで、Create a key​を選択します。

キー設定の設定 configure-key

Configure Key ワークフローが表示されます。 デフォルトでは、キーの種類は​ Symmetric ​に設定され、キーの使用状況は​ Encrypt and Decrypt ​に設定されています。 続行する前に、これらのオプションが選択されていることを確認してください。

Advanced options ドロップダウンメニューを展開します。 AWSでキーマテリアルを作成および管理できる​KMS オプションを使用することをお勧めします。 KMS オプションはデフォルトで選択されています。

次に、キーのリージョンスコープを指定するRegionality設定を選択します。 「Single-Region key」、「Next」の順に選択して、手順2に進みます。

キーにラベルを付けてタグ付け add-labels-and-tags-to-key

ワークフローの2番目のAdd labels ステージが表示されます。 ここでは、AliasおよびTags フィールドを設定して、AWS KMS コンソールから暗号化キーを管理および検索するのに役立てています。

キーの説明ラベルを​ Alias ​入力フィールドに入力します。 エイリアスは、AWS KMS コンソールの検索バーを使用してキーをすばやく見つけるための、使いやすいIDとして機能します。 混乱を避けるために、「Adobe-Experience-Platform-Key」や「Customer-Encryption-Key」など、キーの目的を反映した意味のある名前を選択します。 キーエイリアスが目的を説明するのに不十分な場合は、キーの説明を含めることもできます。

最後に、Tags セクションでキーと値のペアを追加して、キーにメタデータを割り当てます。 この手順はオプションですが、タグを追加してAWS リソースを分類し、フィルタリングして管理を容易にする必要があります。 例えば、複数のAdobe関連リソースを使用している場合は、「Adobe」または「Experience-Platform」でタグ付けできます。 この追加の手順により、AWS Management Consoleで関連するすべてのリソースを簡単に検索および管理できます。 Add tag​を選択してプロセスを開始します。

設定に問題がなければ、Next​を選択してワークフローを続行します。

主要な管理権限の定義 define-key-admins

キー作成ワークフローの手順3が表示されます。 安全で管理されたアクセスを確保するために、キーを管理できるIAM ユーザーと役割を選択できます。 この段階では、Key administratorsとKey deletionの2つのオプションがあります。 「Key administrators」セクションで、このキーに対して管理者の権限を付与するユーザーまたは役割の名前の横にある1つ以上のチェックボックスを選択します。

「Key deletion」セクションで、チェックボックスを有効にして、キー管理者がこのキーを削除する権利を許可します。 チェックボックスをオンにしない場合、管理ユーザーはその操作を実行できません。

ワークフローを続行するには、Next​を選択してください。

主要ユーザーへのアクセス権の付与 assign-key-users

ワークフローの手順4では、Define key usage permissionsできます。 Key users リストから、このキーを使用する権限を持つすべてのIAM ユーザーと役割のチェックボックスを選択します。

このビューでは、Add another AWS accountも使用できますが、他のAWS アカウントの追加は強くお勧めしません。 別のアカウントを追加すると、暗号化や復号化の操作に対するリスクが生じ、権限管理が複雑になる可能性があります。 Adobeでは、キーを1つのAWS アカウントに関連付けることで、AWS KMSとの安全な統合を確保し、リスクを最小限に抑え、信頼できる運用を確保します。

ワークフローを続行するには、Next​を選択してください。

キー設定の確認 review

キー設定のレビューステージが表示されます。 Key configurationおよびAlias and description セクションのキーの詳細を確認してください。

Confirm​を選択してプロセスを完了します。 使用可能なすべてのキーを一覧表示するKMS Customer Managed Keys ワークスペースに戻ります。

次の手順

AWS KMSを設定したら、Platform Encryption Configuration UIまたはAdobe Experience Platform APIを使用して統合を設定します。 Customer Managed Keys機能の設定に関する1回限りのプロセスを続行するには、UI設定ガイド ​に進みます。