Adobe Experience Platformの顧客管理キー
Adobe Experience Platform に保存されたデータは、システムレベルのキーを使用して保存時に暗号化されます。 Experience Platform上に構築されたアプリケーションを使用している場合は、代わりに独自の暗号化キーを使用するように選択すると、データのセキュリティをより詳細に制御できます。
このドキュメントでは、Azure およびAWSをまたいでExperience Platformの顧客管理キー(CMK)機能を有効にするためのプロセスの概要と、これらの手順を実行するために必要な前提条件について説明します。
前提条件
CMK を有効にするには、お使いのプラットフォームのホスティング環境(Azure またはAWS)が特定の設定要件を満たしている必要があります。
一般的な前提条件
Adobe Experience Platformの「 暗号化 」セクションを表示してアクセスするには、役割を作成し、その役割に 顧客管理キーの管理 権限を割り当てる必要があります。 顧客管理キーの管理 権限を持つユーザーは組織で CMK を有効にできます。
Experience Platformでの役割と権限の割り当てについて詳しくは、 権限の設定に関するドキュメント を参照してください。
Azure 固有の前提条件
Azure でホストされる実装の場合、次の設定を使用して Azure Key Vault を設定します。
AWS固有の前提条件
AWSでホストされる実装の場合は、次のようにAWS環境を設定します。
- AWS Identity and Access Management (IAM)を使用して暗号化キーを管理する権限があることを確認します。 詳しくは、AWS KMS の IAM ポリシー を参照してください。
- CMK をサポートするAWS KMS を設定します。 AWS KMS データ暗号化ガイド を参照してください。
プロセスの概要 process-summary
顧客管理キー(CMK)は、Adobeの Healthcare Shield およびプライバシーとセキュリティシールド サービスを通じて利用できます。 Azure では、CMK は Healthcare Shield とプライバシーおよびセキュリティシールドの両方でサポートされています。 AWSでは、CMK は Privacy and Security Shield でのみサポートされ、Healthcare Shield では使用できません。 組織がこれらの製品の 1 つに対するライセンスを購入したら、CMK を有効にするための 1 回限りの設定プロセスを開始できます。
プロセスは以下のようになります。
Azure の場合 azure-process-summary
- 組織のポリシーに基づいて Azure Key Vault を設定 してから、 暗号化キーを生成 してAdobeと共有します。
- API 呼び出し または UI を使用して、Azure テナントとの CMK アプリを設定します。
- 暗号化キー ID をAdobeに送信し、UI 内 または API 呼び出し によって機能のイネーブルメントプロセスを開始します。
- 設定のステータスの確認:CMK が(UI または API 呼び出し で有効になっているかどうかを確認し す 。
Azure がホストするExperience Platform インスタンスの設定プロセスが完了すると、すべてのサンドボックスをまたいでExperience Platformにオンボードされたデータがすべて、Azure キーの設定を使用して暗号化されます。 CMK を使用するには、公開プレビュープログラムの一部である Microsoft Azure 機能を活用します。
AWS用 aws-process-summary
- Adobeと共有する暗号化キーを設定して AWS KMS をセットアップ します。
- UI セットアップガイド に記載されているAWS固有の手順に従います。
- 設定を検証し、AWSがホストするキーを使用してExperience Platform データが暗号化されていることを確認します。
AWSでホストされるExperience Platform インスタンスのセットアッププロセスが完了すると、すべてのサンドボックスをまたいでExperience Platformにオンボードされたデータがすべて、AWS Key Management Service (KMS)の設定を使用して暗号化されます。 AWSで CMK を使用するには、AWS Key Management Service を使用して、組織のセキュリティ要件に合わせて暗号化キーを作成および管理します。
キーアクセスの取り消しの影響 revoke-access
Azure の Key Vault、キー、CMK アプリまたはAWSの暗号化キーへのアクセスを取り消したり無効にしたりすると、Experience Platformの操作に重大な変更が加えられるなど、重大な中断が生じる可能性があります。 キーを無効にすると、Experience Platformのデータにアクセスできなくなる可能性があり、このデータに依存するダウンストリーム操作は機能しなくなります。 主要な設定を変更する前に、ダウンストリームの影響を十分に理解することが重要です。
Azure のデータへのExperience Platform アクセスを取り消すには、アプリケーションに関連付けられているユーザーの役割を Key Vault から削除します。 AWSの場合、このキーを無効にするか、ポリシーステートメントを更新できます。 AWS プロセスの手順について詳しくは、 鍵失効の節 を参照してください。
伝播タイムライン propagation-timelines
Azure Key Vault からキーアクセスが取り消されると、変更は次のように反映されます。
例えば、プロファイルダッシュボードには、データの有効期限が切れて更新されるまでの、最大 7 日間、キャッシュのデータが引き続き表示されます。 同様に、アプリケーションへのアクセスを再度有効にすると、これらのストア間でデータの可用性をリストアするのに同じ時間がかかります。
次の手順
プロセスを開始するには:
- Azure の場合:まず Key Vault の設定 Azure および 暗号化キーの生成 を行い、Adobeと共有します。
- AWSの場合:AWS KMS を設定する と、UI または API 設定ガイドに進む前に、IAM および KMS の適切な設定を確認します。