顧客管理キー用の Azure Key Vault の設定

顧客管理キー(CMK)は、Microsoft Azure Key Vault とAWS Key Management Service (KMS) の両方からのキーをサポートします。 実装が Azure でホストされている場合は、次の手順に従って Key Vault を作成します。 AWSでホストされる実装については、AWS KMS 設定ガイド ​ を参照してください。

IMPORTANT
Azure Key Vault の Standard、Premium、Managed HSM レベルのみがサポートされています。 Azure Dedicated HSM および Azure Payments HSM はサポートされていません。 提供されるキー管理サービスについて詳しくは、Azure ドキュメントを参照してください。
NOTE
以下のドキュメントでは、Key Vault を作成する基本的な手順についてのみ説明します。 このガイダンス以外では、組織のポリシーに従って Key Vault を設定する必要があります。

Azure ポータルにログインし、検索バーを使用してサービスのリストの下にある Key vaults を見つけます。

検索結果で Key vaults がハイライト表示されている Microsoft Azure の検索機能

サービスを選択すると、Key vaults ページが表示されます。 ここから Create を選択します。

Create がハイライト表示された Microsoft Azure の Key vaults ダッシュボード

提供されたフォームを使用して、名前や割り当てられたリソースグループなど、Key Vault の基本的な詳細を入力します。

WARNING
ほとんどのオプションはデフォルト値のままでかまいませんが、必ずソフト削除および消去保護オプションを有効にしてください。これらの機能を有効にしないと、Key Vault が削除された場合、データへのアクセスが失われる可能性があります。
​ ソフト削除および消去保護がハイライト表示された Microsoft Azure Create a Key Vault ワークフロー ​

ここから、Key Vault の作成ワークフローを続け、組織のポリシーに従って様々なオプションを設定します。

Review + create の手順に達したら、検証中に Key Vault の詳細を確認できます。 検証に問題がなければ、「Create」を選択してプロセスを完了します。

「作成」がハイライト表示されたMicrosoft Azure Key Vault の「レビューと作成」ページ

アクセスを設定 configure-access

次に、Key Vault の Azure ロールベースのアクセス制御を有効にします。 左側のナビゲーションの「Settings」セクションで「Access configuration」を選択したあと、「Azure role-based access control」を選択して設定を有効にします。 CMK アプリは後で Azure ロールに関連付ける必要があるので、この手順は必須です。 役割の割り当ては、API ワークフローと UI ワークフローの両方に記載されています。

Access configuration と Azure role-based access control がハイライト表示された Microsoft Azure ダッシュボード。

ネットワークオプションの設定 configure-network-options

公開アクセスを特定の仮想ネットワークに制限するように Key Vault が設定されている場合、または公開アクセスを完全に無効にする場合は、ファイアウォールの例外を付与する必要 Microsoft あります。

左側のナビゲーションの「Networking」を選択します。 Firewalls and virtual networks の下で、「Allow trusted Microsoft services to bypass this firewall」チェックボックスを選択し、「Apply」を選択します。

NOTE
Key Vault が制限付きネットワークアクセスを使用する場合、Adobeでは次の静的 IP アドレスを追加することをお勧めします。20.88.123.53 この IP アドレスを追加することで、Adobe サービスは接続性をより効果的に監視し、アクセスの問題が検出された場合に Platform 内アラートを提供できます。
Adobeの IP アドレスを許可リストするタイミング、アラートの仕組み、主要なアクセス失敗通知への応答方法について詳しくは、Azure CMK のアラートと IP アクセスの設定 ​ を参照してください。
Key Vault が既に公開ネットワークアクセスを許可するように設定されている場合は、それ以上のアクションは必要ありません。

Networking と Allow trusted Microsoft surfaces to bypass this firewall の例外がハイライト表示された Microsoft Azure の「Networking」タブ

キーの生成 generate-a-key

Key Vault を作成したら、新しいキーを生成できます。 「Keys」タブに移動し、「Generate/Import」を選択します。

Generate import がハイライト表示された Azure の「Keys」タブ

提供されたフォームを使用してキーの名前を指定し、キータイプに RSA または RSA-HSM のいずれかを選択します。 Azure ホスト実装の場合、RSA key size は、Azure Cosmos DB に必要な 3072 ビット以上である必要があります。 Azure Data Lake Storage は、RSA 3027 とも互換性があります。

NOTE
Adobeにキーを送信する際に必要なので、キーに指定した名前を覚えておきます。

残りのコントロールを使用して、必要に応じて生成または読み込むキーを設定します。終了したら「Create」を選択します。

3072 ビットがハイライト表示された Create a key ダッシュボード。

設定されたキーが、Vault のキーのリストに表示されます。

キー名がハイライト表示された Keys ワークスペース。

次の手順

顧客管理キー機能を 1 回限りの方法で設定するには、お使いのプラットフォームのホスティング環境に応じた設定ガイドに従ってください。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5