AEM as a Cloud Service용 고객 관리 키 설정 customer-managed-keys-for-aem-as-a-cloud-service
AEM as a Cloud Service는 현재 고객 데이터를 Azure Blob Storage와 MongoDB에 저장하고 있으며, 기본적으로 공급자가 관리하는 암호화 키를 사용하여 데이터를 보호하고 있습니다. 이러한 설정은 많은 조직의 보안 요구 사항을 충족하지만, 규제 대상 업종의 기업이나 강화된 데이터 보안이 필요한 기업들은 암호화 방식에 대한 보다 강력한 제어 권한을 요구합니다. 데이터 보안, 규정 준수, 암호화 키 관리 능력을 우선시하는 조직을 위해 고객 관리 키(CMK) 솔루션은 중요한 향상 기능을 제공합니다.
이 솔루션의 목적 the-problem-being-solved
공급자 관리 키를 사용하면 추가적인 개인 정보 보호 및 무결성이 필요한 비즈니스에 어려움이 발생할 수 있습니다. 키 관리를 통제하지 못하면 조직은 규정 준수 요구 사항을 충족하고 맞춤형 보안 정책을 시행하며 완전한 데이터 보안을 보장하기 어렵습니다.
고객 관리 키(CMK)의 도입은 AEM 고객이 암호화 키를 완벽하게 제어할 수 있도록 함으로써 이러한 문제를 해결합니다. AEM CS는 Microsoft Entra ID(이전 Azure Active Directory)를 통해 인증함으로써 고객의 Azure Key Vault에 안전하게 연결되므로 키 생성, 순환 및 해지 등 암호화 키의 수명 주기를 관리할 수 있습니다.
CMK는 여러 가지 장점을 제공합니다.
- 데이터 및 응용 프로그램 암호화 관리: AEM 응용 프로그램 및 데이터 암호화 키를 직접 관리하여 보안을 강화합니다.
- 기밀성 및 무결성 향상: 완벽한 암호화 관리를 통해 중요한 데이터 또는 독점 데이터에 실수로 액세스하고 노출될 가능성을 줄입니다.
- Azure Key Vault 지원: Azure Key Vault를 사용하면 키 저장, 비밀 작업 처리 및 키 순환을 수행할 수 있습니다.
CMK를 채택함으로써 고객은 데이터 보안 및 암호화 관행에 대한 통제력을 높이고 보안을 강화하며 위험을 완화하는 동시에 AEM CS의 확장성과 유연성을 유지할 수 있습니다.
AEM as a Cloud Service을 사용하면 자체 암호화 키를 사용하여 사용 중인 데이터를 암호화할 수 있습니다. 이 안내서에서는 AEM as a Cloud Service용 Azure Key Vault에서 고객 관리 키(CMK)를 설정하는 단계를 제공합니다.
이 안내서에서는 필요한 인프라를 만들고 구성하기 위한 다음 단계를 제공합니다.
- 환경 설정
- Adobe에서 애플리케이션 ID 받기
- 새 리소스 그룹 만들기
- 키 자격 증명 모음 만들기
- Adobe에 키 자격 증명 모음에 대한 액세스 권한 부여
- 암호화 키 만들기
키 저장소 URL, 암호화 키 이름 및 키 저장소에 대한 정보를 Adobe과 공유해야 합니다.
환경 설정 setup-your-environment
이 안내서에는 Azure 명령줄 인터페이스(CLI)만 필요합니다. Azure CLI가 아직 설치되지 않은 경우 여기에서 공식 설치 지침을 따릅니다.
이 안내서의 나머지 부분을 계속하기 전에 az login을(를) 사용하여 CLI에 로그인합니다.
AEM as a Cloud Service에 대한 CMK 구성 프로세스 시작하기 request-cmk-for-aem-as-a-cloud-service
UI를 통해 AEM as a Cloud Service 환경에 대한 CMK(고객 관리 키) 구성을 요청해야 합니다. 이렇게 하려면 고객 관리 키 섹션 아래의 AEM 홈 보안 UI로 이동합니다.
그런 다음 온보딩 시작 단추를 클릭하여 온보딩 프로세스를 시작할 수 있습니다.
Adobe에서 애플리케이션 ID 받기 obtain-an-application-id-from-adobe
온보딩 프로세스를 시작하면 Adobe에서 Entra 애플리케이션 ID를 제공합니다. 이 애플리케이션 ID는 안내서의 나머지 부분에 필요하며 Adobe이 주요 자격 증명 모음에 액세스할 수 있도록 하는 서비스 사용자를 만듭니다. 아직 애플리케이션 ID가 없는 경우 Adobe에서 제공할 때까지 기다리십시오.
요청이 완료되면 CMK UI에 애플리케이션 ID가 표시됩니다.
새 리소스 그룹 만들기 create-a-new-resource-group
원하는 위치에 새로운 리소스 그룹을 만듭니다.
# Choose a location and a name for the resource group.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"
# Create the resource group.
az group create --location $location --resource-group $resourceGroup
이미 리소스 그룹이 있는 경우 대신 사용합니다. 이 안내서의 나머지 부분에서는 리소스 그룹의 위치와 이름이 각각 $location과 $resourceGroup으로 식별됩니다.
키 자격 증명 모음 만들기 create-a-key-vault
암호화 키를 포함할 키 저장소를 만듭니다. 키 자격 증명 모음은 삭제 방지 기능이 활성화되어 있어야 합니다. 다른 Azure 서비스에서 사용하지 않는 데이터를 암호화하려면 삭제 방지 기능이 필요합니다. Adobe 서비스가 키 자격 증명 모음에 액세스할 수 있도록 하려면 공용 네트워크 액세스도 활성화해야 합니다.
# Reuse this information from the previous step.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"
# Choose a name for the key vault.
$keyVaultName="<KEY VAULT NAME>"
# Create the key vault.
az keyvault create `
--location $location `
--resource-group $resourceGroup `
--name $keyVaultName `
--default-action=Allow `
--enable-purge-protection `
--enable-rbac-authorization `
--public-network-access Enabled
Adobe에 키 자격 증명 모음에 대한 액세스 권한 부여 grant-adobe-access-to-the-key-vault
이 단계에서는 Adobe이 Entra 애플리케이션을 통해 주요 자격 증명 모음에 액세스할 수 있도록 허용합니다. Adobe은 이미 Entra 애플리케이션의 ID를 제공했어야 합니다.
먼저 Entra 응용 프로그램에 연결된 서비스 사용자를 만들고 Key Vault Reader 및 Key Vault 암호화 사용자 역할을 할당해야 합니다. 역할은 이 안내서에서 생성된 키 자격 증명 모음으로 제한됩니다.
# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"
# The application ID is provided by Adobe.
$appId="<APPLICATION ID>"
# Retrieve the ID of the key vault.
$keyVaultId=(az keyvault show --resource-group $resourceGroup --name $keyVaultName --query id --output tsv)
# Create a new service principal.
$servicePrincipalId=(az ad sp create --id $appId --query id --out tsv)
# Assign the roles to the service principal.
az role assignment create --assignee $servicePrincipalId --role "Key Vault Reader" --scope $keyVaultId
az role assignment create --assignee $servicePrincipalId --role "Key Vault Crypto User" --scope $keyVaultId
암호화 키 만들기 create-an-encryption-key
마지막으로, 키 자격 증명 모음에 암호화 키를 생성할 수 있습니다. 이 단계를 완료하려면 Key Vault 암호화 관리자 역할이 필요합니다. 이 역할을 부여하려면 로그인한 사용자에게 이 역할이 없는 경우 시스템 관리자에게 문의하십시오. 또는 이미 해당 역할이 있는 사람에게 이 단계를 완료하도록 요청하십시오.
암호화 키를 만들려면 키 자격 증명 모음에 대한 네트워크 액세스가 필요합니다. 먼저 키 자격 증명 모음에 액세스하여 키를 생성할 수 있는지 확인합니다.
# Reuse this information from the previous steps.
$keyVaultName="<KEY VAULT NAME>"
# Choose a name for your key.
$keyName="<KEY NAME>"
# Create the key.
az keyvault key create --vault-name $keyVaultName --name $keyName
주요 자격 증명 모음 정보 공유 share-the-key-vault-information
이 시점에서 구성이 완료되었습니다. 환경 구성 프로세스를 시작하는 CMK UI를 통해 필요한 정보를 공유합니다.
# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"
# Retrieve the URL of your key vault.
$keyVaultUri=(az keyvault show --name $keyVaultName `
--resource-group $resourceGroup `
--query properties.vaultUri `
--output tsv)
# In addition we would need the tenantId and the subscriptionId in order to setup the connection.
$tenantId=(az keyvault show --name $keyVaultName `
--resource-group $resourceGroup `
--query properties.tenantId `
--output tsv)
$subscriptionId="<Subscription ID>"
CMK UI에 다음 정보를 제공합니다.
키 액세스 취소의 의미 implications-of-revoking-key-access
Key Vault, 키 또는 CMK 앱에 대한 액세스를 취소하거나 비활성화하면 AEM as a Cloud Service 환경에 심각한 운영이 중단될 수 있습니다. 이러한 키가 비활성화되면 AEM as a Cloud Service의 데이터에 액세스할 수 없게 되고 이 데이터에 의존하는 모든 다운스트림 작업이 중단됩니다. 주요 구성을 변경하기 전에 잠재적인 영향을 이해하는 것이 중요합니다.
데이터에 대한 AEM as a Cloud Service 액세스를 취소하기로 결정한 경우 Azure 내의 Key Vault에서 애플리케이션과 연결된 사용자 역할을 제거하여 취소할 수 있습니다.
다음 단계 next-steps
CMK UI에 필요한 정보를 제공하면 Adobe은 AEM as a Cloud Service 환경에 대한 구성 프로세스를 시작합니다. 이 프로세스에는 시간이 필요하며 완료되면 알림이 표시됩니다.
CMK 설정 완료 complete-the-cmk-setup
구성 프로세스가 완료되면 UI에서 CMK 설정 상태를 확인할 수 있습니다. 키 저장소와 암호화 키도 볼 수 있습니다.
질문 및 지원 questions-and-support
질문이 있거나 AEM as a Cloud Service용 고객 관리 키 설정에 대한 지원이 필요한 경우 Adobe에 문의하십시오. Adobe 지원에서는 모든 질문에 답변해 드립니다.