Adobe Experience Platformの顧客管理キー

Adobe Experience Platform に保存されたデータは、システムレベルのキーを使用して保存時に暗号化されます。 Platform 上に構築されたアプリケーションを使用している場合は、代わりに独自の暗号化キーを使用するよう選択すると、データのセキュリティをより詳細に制御できます。

AVAILABILITY
Adobe Experience Platformは、Microsoft Azure とAmazon Web Services(AWS)の両方で顧客管理キー(CMK)をサポートします。 AWSで実行されるExperience Platformは、現在、限られた数のお客様が利用できます。 実装を Platform で実行する場合は、AWS データ暗号化用の Key Management Service (KMS)を使用するオプションがあります。 サポートされるインフラストラクチャの詳細については、Experience Platformマルチクラウドの概要を参照してください。
AWS KMS での暗号化キーの作成と管理については、AWS KMS データ暗号化ガイドを参照してください。 Azure の実装については、Azure Key Vault 設定ガイドを参照してください。
NOTE
ホス Azure トされた Platform インスタンスの場合、Platform の Azure Data Lake および Azure Cosmos DB プロファイルストアに保存された顧客プロファイルデータは、有効にすると、CMK を使用してのみ暗号化されます。 プライマリデータストアでのキーの失効には、一時的なデータストアまたはセカンダリデータストアの場合は 数分から 24 時間 および 最大 7 日 かかる場合があります。 詳しくは、 キーアクセスの取り消しの影響の節を参照してください。

このドキュメントでは、Azure とAWSをまたいで Platform の顧客管理キー(CMK)機能を有効にするためのプロセスの概要と、これらの手順を完了するために必要な前提条件について説明します。

NOTE
Customer Journey Analytics版のお客様は、Customer Journey Analyticsドキュメントの手順に従ってください。

前提条件

CMK を有効にするには、お使いのプラットフォームのホスティング環境(Azure またはAWS)が特定の設定要件を満たしている必要があります。

一般的な前提条件

Adobe Experience Platformの「​ 暗号化 ​」セクションを表示してアクセスするには、役割を作成し、その役割に ​ 顧客管理キーの管理 ​ 権限を割り当てる必要があります。 ​ 顧客管理キーの管理 ​ 権限を持つユーザーは組織で CMK を有効にできます。

Experience Platformでの役割と権限の割り当てについて詳しくは、 権限の設定に関するドキュメントを参照してください。

Azure 固有の前提条件

Azure でホストされる実装の場合、次の設定を使用して Azure Key Vault を設定します。

AWS固有の前提条件

AWSでホストされる実装の場合は、次のようにAWS環境を設定します。

  • AWS Identity and Access Management (IAM)を使用して暗号化キーを管理する権限があることを確認します。 詳しくは、AWS KMS の IAM ポリシーを参照してください。
  • CMK をサポートするAWS KMS を設定します。 AWS KMS データ暗号化ガイドを参照してください。

プロセスの概要 process-summary

顧客管理キー(CMK)は、Adobeの Healthcare Shield およびプライバシーとセキュリティシールド サービスを通じて利用できます。 Azure では、CMK は Healthcare Shield とプライバシーおよびセキュリティシールドの両方でサポートされています。 AWSでは、CMK は Privacy and Security Shield でのみサポートされ、Healthcare Shield では使用できません。 組織がこれらの製品の 1 つに対するライセンスを購入したら、CMK を有効にするための 1 回限りの設定プロセスを開始できます。

WARNING
CMK を設定した後は、システム管理キーに戻すことはできません。 キーを安全に管理して、データへのアクセスが失われないようにする責任があります。

プロセスは以下のようになります。

Azure の場合 azure-process-summary

  1. 組織のポリシーに基づく Azure Key Vault を設定してから、Adobeと共有するための 暗号化キーを生成します。
  2. API 呼び出しまたは UI を使用して、Azure テナントとの CMK アプリを設定します。
  3. 暗号化キー ID をAdobeに送信し、UI 内または API 呼び出しを使用して、機能のイネーブルメントプロセスを開始します。
  4. 設定のステータスの確認:CMK が(UI または API 呼び出しで有効になっているかどうかを確認し

Azure がホストする Platform インスタンスの設定プロセスが完了すると、すべてのサンドボックスをまたいで Platform にオンボードされたデータがすべて、Azure キーの設定を使用して暗号化されます。 CMK を使用するには、公開プレビュープログラムの一部である Microsoft Azure 機能を活用します。

AWS用 aws-process-summary

  1. Adobeと共有する暗号化キーを設定して、AWS KMS をセットアップします。
  2. UI セットアップガイドに記載されているAWS固有の手順に従います。
  3. 設定を検証し、Platform データがAWSでホストされるキーを使用して暗号化されていることを確認します。

AWSでホストされる Platform インスタンスの設定プロセスが完了すると、すべてのサンドボックスをまたいで Platform にオンボードされたデータがすべて、AWS Key Management Service (KMS)の設定を使用して暗号化されます。 AWSで CMK を使用するには、AWS Key Management Service を使用して、組織のセキュリティ要件に合わせて暗号化キーを作成および管理します。

キーアクセスの取り消しの影響 revoke-access

Azure の Key Vault、キー、CMK アプリまたはAWSの暗号化キーへのアクセスを取り消したり無効にしたりすると、プラットフォームの運用に重大な変更が加えられるなど、重大な中断が生じる可能性があります。 キーを無効にすると、Platform のデータにアクセスできなくなる可能性があり、このデータに依存するダウンストリーム操作は機能しなくなります。 主要な設定を変更する前に、ダウンストリームの影響を十分に理解することが重要です。

Azure のデータへの Platform アクセスを取り消すには、アプリケーションに関連付けられているユーザーの役割を Key Vault から削除します。 AWSの場合、このキーを無効にするか、ポリシーステートメントを更新できます。 AWS プロセスの手順について詳しくは、 鍵失効の節を参照してください。

伝播タイムライン propagation-timelines

Azure Key Vault からキーアクセスが取り消されると、変更は次のように反映されます。

ストアタイプ
説明
タイムライン
プライマリデータストア
データレイク(Azure Data Lake、AWS S3)および Azure Cosmos DB プロファイルストアが含まれます。 キーアクセスが取り消されると、データにアクセスできなくなります。
数分~24 時間
キャッシュ/一時的なデータストア
パフォーマンスおよびコアアプリケーション機能に使用されるセカンダリデータストアが含まれます。 キーの失効の影響は遅延します。
最長 7 日間

例えば、プロファイルダッシュボードには、データの有効期限が切れて更新されるまでの、最大 7 日間、キャッシュのデータが引き続き表示されます。 同様に、アプリケーションへのアクセスを再度有効にすると、これらのストア間でデータの可用性をリストアするのに同じ時間がかかります。

NOTE
アプリケーションへのアクセスの再有効化には、これらのストア間でデータの可用性を復元するための失効と同じ時間がかかる場合があります。
TIP
非プライマリ(キャッシュ/一時的)データの 7 日間のデータセット有効期限には、ユースケース固有の例外が 2 つあります。 これらの機能について詳しくは、それぞれのドキュメントを参照してください。

次の手順

プロセスを開始するには:

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5