Adobe Experience Platformの顧客管理キー
Adobe Experience Platform に保存されたデータは、システムレベルのキーを使用して保存時に暗号化されます。 Platform 上に構築されたアプリケーションを使用している場合は、代わりに独自の暗号化キーを使用するよう選択すると、データのセキュリティをより詳細に制御できます。
このドキュメントでは、Azure とAWSをまたいで Platform の顧客管理キー(CMK)機能を有効にするためのプロセスの概要と、これらの手順を完了するために必要な前提条件について説明します。
前提条件
CMK を有効にするには、お使いのプラットフォームのホスティング環境(Azure またはAWS)が特定の設定要件を満たしている必要があります。
一般的な前提条件
Adobe Experience Platformの「 暗号化 」セクションを表示してアクセスするには、役割を作成し、その役割に 顧客管理キーの管理 権限を割り当てる必要があります。 顧客管理キーの管理 権限を持つユーザーは組織で CMK を有効にできます。
Experience Platformでの役割と権限の割り当てについて詳しくは、 権限の設定に関するドキュメントを参照してください。
Azure 固有の前提条件
Azure でホストされる実装の場合、次の設定を使用して Azure Key Vault を設定します。
AWS固有の前提条件
AWSでホストされる実装の場合は、次のようにAWS環境を設定します。
- AWS Identity and Access Management (IAM)を使用して暗号化キーを管理する権限があることを確認します。 詳しくは、AWS KMS の IAM ポリシーを参照してください。
- CMK をサポートするAWS KMS を設定します。 AWS KMS データ暗号化ガイドを参照してください。
プロセスの概要 process-summary
顧客管理キー(CMK)は、Adobeの Healthcare Shield およびプライバシーとセキュリティシールド サービスを通じて利用できます。 Azure では、CMK は Healthcare Shield とプライバシーおよびセキュリティシールドの両方でサポートされています。 AWSでは、CMK は Privacy and Security Shield でのみサポートされ、Healthcare Shield では使用できません。 組織がこれらの製品の 1 つに対するライセンスを購入したら、CMK を有効にするための 1 回限りの設定プロセスを開始できます。
プロセスは以下のようになります。
Azure の場合 azure-process-summary
Azure がホストする Platform インスタンスの設定プロセスが完了すると、すべてのサンドボックスをまたいで Platform にオンボードされたデータがすべて、Azure キーの設定を使用して暗号化されます。 CMK を使用するには、公開プレビュープログラムの一部である Microsoft Azure 機能を活用します。
AWS用 aws-process-summary
- Adobeと共有する暗号化キーを設定して、AWS KMS をセットアップします。
- UI セットアップガイドに記載されているAWS固有の手順に従います。
- 設定を検証し、Platform データがAWSでホストされるキーを使用して暗号化されていることを確認します。
AWSでホストされる Platform インスタンスの設定プロセスが完了すると、すべてのサンドボックスをまたいで Platform にオンボードされたデータがすべて、AWS Key Management Service (KMS)の設定を使用して暗号化されます。 AWSで CMK を使用するには、AWS Key Management Service を使用して、組織のセキュリティ要件に合わせて暗号化キーを作成および管理します。
キーアクセスの取り消しの影響 revoke-access
Azure の Key Vault、キー、CMK アプリまたはAWSの暗号化キーへのアクセスを取り消したり無効にしたりすると、プラットフォームの運用に重大な変更が加えられるなど、重大な中断が生じる可能性があります。 キーを無効にすると、Platform のデータにアクセスできなくなる可能性があり、このデータに依存するダウンストリーム操作は機能しなくなります。 主要な設定を変更する前に、ダウンストリームの影響を十分に理解することが重要です。
Azure のデータへの Platform アクセスを取り消すには、アプリケーションに関連付けられているユーザーの役割を Key Vault から削除します。 AWSの場合、このキーを無効にするか、ポリシーステートメントを更新できます。 AWS プロセスの手順について詳しくは、 鍵失効の節を参照してください。
伝播タイムライン propagation-timelines
Azure Key Vault からキーアクセスが取り消されると、変更は次のように反映されます。
例えば、プロファイルダッシュボードには、データの有効期限が切れて更新されるまでの、最大 7 日間、キャッシュのデータが引き続き表示されます。 同様に、アプリケーションへのアクセスを再度有効にすると、これらのストア間でデータの可用性をリストアするのに同じ時間がかかります。
次の手順
プロセスを開始するには:
- Azure の場合:まず Key Vault の設定および 暗号化キーの生成を行い Azure Adobeと共有します。
- AWSの場合:AWS KMS を設定すると、UI または API 設定ガイドに進む前に、IAM および KMS の適切な設定を確認します。