Adobe Experience Platformの顧客管理キー

Adobe Experience Platform に保存されたデータは、システムレベルのキーを使用して保存時に暗号化されます。 Experience Platform上に構築されたアプリケーションを使用している場合は、代わりに独自の暗号化キーを使用するように選択すると、データのセキュリティをより詳細に制御できます。

AVAILABILITY
Adobe Experience Platformは、Microsoft Azure とAmazon Web Services(AWS)の両方で顧客管理キー(CMK)をサポートします。 AWS上で動作するExperience Platformは、現在、限られた数のお客様が利用できます。 実装がAWSで実行されている場合は、Experience Platform データ暗号化に Key Management Service (KMS)を使用することができます。 サポートされるインフラストラクチャについて詳しくは、Experience Platform multi-cloud overview を参照してください。
AWS KMS での暗号化キーの作成と管理については、AWS KMS データ暗号化ガイド ​ を参照してください。 Azure の実装については、Azure Key Vault 設定ガイド ​ を参照してください。
NOTE
ホステッド型Experience Platform インスタンス Azure 場合、Experience Platform Azure Data Lake および Azure Cosmos DB プロファイルストアに保存された顧客プロファイルデータは、有効にすると、CMK を使用してのみ暗号化されます。 プライマリデータストアでのキーの失効には、一時的なデータストアまたはセカンダリデータストアの場合は 数分から 24 時間 および 最大 7 日 かかる場合があります。 詳しくは、​ キーアクセスの取り消しの影響 ​ の節を参照してください。

このドキュメントでは、Azure およびAWSをまたいでExperience Platformの顧客管理キー(CMK)機能を有効にするためのプロセスの概要と、これらの手順を実行するために必要な前提条件について説明します。

NOTE
Customer Journey Analyticsのお客様は、Customer Journey Analytics ドキュメント ​ の手順に従ってください。

前提条件

CMK を有効にするには、お使いのプラットフォームのホスティング環境(Azure またはAWS)が特定の設定要件を満たしている必要があります。

一般的な前提条件

Adobe Experience Platformの「​ 暗号化 ​」セクションを表示してアクセスするには、役割を作成し、その役割に ​ 顧客管理キーの管理 ​ 権限を割り当てる必要があります。 ​ 顧客管理キーの管理 ​ 権限を持つユーザーは組織で CMK を有効にできます。

Experience Platformでの役割と権限の割り当てについて詳しくは、​ 権限の設定に関するドキュメント ​ を参照してください。

Azure 固有の前提条件

Azure でホストされる実装の場合、次の設定を使用して Azure Key Vault を設定します。

AWS固有の前提条件

AWSでホストされる実装の場合は、次のようにAWS環境を設定します。

プロセスの概要 process-summary

顧客管理キー(CMK)は、Adobeの Healthcare Shield およびプライバシーとセキュリティシールド サービスを通じて利用できます。 Azure では、CMK は Healthcare Shield とプライバシーおよびセキュリティシールドの両方でサポートされています。 AWSでは、CMK は Privacy and Security Shield でのみサポートされ、Healthcare Shield では使用できません。 組織がこれらの製品の 1 つに対するライセンスを購入したら、CMK を有効にするための 1 回限りの設定プロセスを開始できます。

WARNING
CMK を設定した後は、システム管理キーに戻すことはできません。 キーを安全に管理して、データへのアクセスが失われないようにする責任があります。

プロセスは以下のようになります。

Azure の場合 azure-process-summary

  1. 組織のポリシーに基づいて ​ Azure Key Vault を設定 ​ してから、​ 暗号化キーを生成 ​ してAdobeと共有します。
  2. API 呼び出し ​ または UI を使用して、Azure テナントとの CMK アプリを設定します。
  3. 暗号化キー ID をAdobeに送信し、UI 内 ​ または API 呼び出し ​ によって機能のイネーブルメントプロセスを開始します。
  4. 設定のステータスの確認:CMK が(UI または API 呼び出し ​ で有効になっているかどうかを確認し ​ す ​

Azure がホストするExperience Platform インスタンスの設定プロセスが完了すると、すべてのサンドボックスをまたいでExperience Platformにオンボードされたデータがすべて、Azure キーの設定を使用して暗号化されます。 CMK を使用するには、公開プレビュープログラムの一部である Microsoft Azure 機能を活用します。

AWS用 aws-process-summary

  1. Adobeと共有する暗号化キーを設定して AWS KMS をセットアップ ​ します。
  2. UI セットアップガイド ​ に記載されているAWS固有の手順に従います。
  3. 設定を検証し、AWSがホストするキーを使用してExperience Platform データが暗号化されていることを確認します。

AWSでホストされるExperience Platform インスタンスのセットアッププロセスが完了すると、すべてのサンドボックスをまたいでExperience Platformにオンボードされたデータがすべて、AWS Key Management Service (KMS)の設定を使用して暗号化されます。 AWSで CMK を使用するには、AWS Key Management Service を使用して、組織のセキュリティ要件に合わせて暗号化キーを作成および管理します。

キーアクセスの取り消しの影響 revoke-access

Azure の Key Vault、キー、CMK アプリまたはAWSの暗号化キーへのアクセスを取り消したり無効にしたりすると、Experience Platformの操作に重大な変更が加えられるなど、重大な中断が生じる可能性があります。 キーを無効にすると、Experience Platformのデータにアクセスできなくなる可能性があり、このデータに依存するダウンストリーム操作は機能しなくなります。 主要な設定を変更する前に、ダウンストリームの影響を十分に理解することが重要です。

Azure のデータへのExperience Platform アクセスを取り消すには、アプリケーションに関連付けられているユーザーの役割を Key Vault から削除します。 AWSの場合、このキーを無効にするか、ポリシーステートメントを更新できます。 AWS プロセスの手順について詳しくは、​ 鍵失効の節 ​ を参照してください。

伝播タイムライン propagation-timelines

Azure Key Vault からキーアクセスが取り消されると、変更は次のように反映されます。

ストアタイプ
説明
タイムライン
プライマリデータストア
データレイク(Azure Data Lake、AWS S3)および Azure Cosmos DB プロファイルストアが含まれます。 キーアクセスが取り消されると、データにアクセスできなくなります。
数分~24 時間
キャッシュ/一時的なデータストア
パフォーマンスおよびコアアプリケーション機能に使用されるセカンダリデータストアが含まれます。 キーの失効の影響は遅延します。
最長 7 日間

例えば、プロファイルダッシュボードには、データの有効期限が切れて更新されるまでの、最大 7 日間、キャッシュのデータが引き続き表示されます。 同様に、アプリケーションへのアクセスを再度有効にすると、これらのストア間でデータの可用性をリストアするのに同じ時間がかかります。

NOTE
アプリケーションへのアクセスの再有効化には、これらのストア間でデータの可用性を復元するための失効と同じ時間がかかる場合があります。
TIP
非プライマリ(キャッシュ/一時的)データの 7 日間のデータセット有効期限には、ユースケース固有の例外が 2 つあります。 これらの機能について詳しくは、それぞれのドキュメントを参照してください。

次の手順

プロセスを開始するには:

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5