Adobe Experience Platform의 고객 관리 키
Adobe Experience Platform에 저장된 데이터는 시스템 수준 키를 사용하여 사용하지 않을 때 암호화됩니다. 플랫폼 위에 구축된 애플리케이션을 사용하는 경우 자체 암호화 키를 대신 사용하도록 선택할 수 있으므로 데이터 보안을 보다 세밀하게 제어할 수 있습니다.
이 문서에서는 Azure 및 AWS에서 Platform의 CMK(Customer Managed Keys) 기능을 활성화하는 프로세스에 대한 높은 수준의 개요를 제공하며 이러한 단계를 완료하는 데 필요한 전제 조건 정보를 제공합니다.
전제 조건
CMK를 사용하려면 플랫폼의 호스팅 환경(Azure 또는 AWS)이 특정 구성 요구 사항을 충족해야 합니다.
일반 사전 요구 사항
Adobe Experience Platform에서 암호화 섹션을 보고 액세스하려면 역할을 만들고 해당 역할에 고객 관리 키 관리 권한을 할당해야 합니다. 고객 관리 키 관리 권한이 있는 모든 사용자는 조직에 대해 CMK를 사용할 수 있습니다.
Experience Platform에서 역할 및 권한을 할당하는 방법에 대한 자세한 내용은 권한 구성 설명서를 참조하세요.
Azure 관련 사전 요구 사항
Azure 호스팅 구현의 경우 다음 설정으로 Azure Key Vault를 구성하십시오.
AWS 관련 사전 요구 사항
AWS 호스팅 구현의 경우 다음과 같이 AWS 환경을 구성합니다.
- AWS Identity and Access Management(IAM)를 사용하여 암호화 키를 관리할 수 있는 권한이 있는지 확인합니다. 자세한 내용은 AWS KMS용 IAM 정책을 참조하십시오.
- CMK를 지원하는 AWS KMS를 설정합니다. AWS KMS 데이터 암호화 안내서를 참조하세요.
프로세스 요약 process-summary
CMK(Customer Managed Keys)는 Adobe의 Healthcare Shield 및 Privacy and Security Shield 서비스를 통해 사용할 수 있습니다. Azure에서 CMK는 Healthcare Shield와 Privacy and Security Shield 모두에서 지원됩니다. AWS에서 CMK는 개인 정보 및 보안 실드에 대해서만 지원되며 Healthcare Shield에는 사용할 수 없습니다. 조직이 이러한 서비스 중 하나에 대한 라이센스를 구매하면 CMK를 활성화하기 위한 일회성 설정 프로세스를 시작할 수 있습니다.
프로세스는 다음과 같습니다.
Azure 용 azure-process-summary
Azure 호스팅 플랫폼 인스턴스에 대한 설정 프로세스가 완료되면 모든 샌드박스에서 플랫폼에 온보딩되는 모든 데이터는 Azure 키 설정을 사용하여 암호화됩니다. CMK를 사용하려면 공개 미리 보기 프로그램의 일부일 수 있는 Microsoft Azure 기능을 활용하게 됩니다.
AWS용 aws-process-summary
- Adobe과 공유할 암호화 키를 구성하여 AWS KMS를 설정합니다.
- UI 설정 안내서의 AWS 관련 지침을 따르십시오.
- 설정의 유효성을 검사하여 Platform 데이터가 AWS 호스트 키를 사용하여 암호화되어 있는지 확인합니다.
AWS 호스팅 Platform 인스턴스에 대한 설정 프로세스가 완료되면 모든 샌드박스에서 플랫폼에 온보딩된 모든 데이터는 AWS KMS(키 관리 서비스) 구성을 사용하여 암호화됩니다. AWS에서 CMK를 사용하려면 AWS 키 관리 서비스를 사용하여 조직의 보안 요구 사항에 맞게 암호화 키를 만들고 관리합니다.
키 액세스 취소의 의미 revoke-access
Azure의 Key Vault, 키, CMK 앱 또는 AWS의 암호화 키에 대한 액세스를 취소하거나 사용하지 않도록 설정하면 플랫폼 작업에 대한 변경 내용 중단이 포함된 심각한 중단을 초래할 수 있습니다. 키가 비활성화되면 Platform의 데이터에 액세스할 수 없게 되고 이 데이터를 사용하는 다운스트림 작업이 중단됩니다. 주요 구성을 변경하기 전에 다운스트림 영향을 완전히 이해하는 것이 중요합니다.
Azure의 데이터에 대한 Platform 액세스를 취소하려면 Key Vault에서 응용 프로그램과 연결된 사용자 역할을 제거하십시오. AWS의 경우 키를 비활성화하거나 정책 문을 업데이트할 수 있습니다. AWS 프로세스에 대한 자세한 지침은 키 해지 섹션을 참조하세요.
전파 타임라인 propagation-timelines
Azure 키 저장소에서 키 액세스가 해지되면 변경 사항이 다음과 같이 전파됩니다.
예를 들어 프로필 대시보드는 데이터가 만료되고 새로 고쳐지기 전까지 최대 7일 동안 해당 캐시의 데이터를 계속 표시합니다. 마찬가지로 애플리케이션에 대한 액세스를 다시 활성화하면 이러한 저장소에서 데이터 가용성을 복원하는 데 동일한 시간이 소요됩니다.
다음 단계
프로세스를 시작하려면 다음을 수행하십시오.
- Azure의 경우: Key Vault 구성 및 Adobe과 공유할 암호화 키를 생성하여 시작합니다. Azure
- AWS의 경우: AWS KMS를 설정하고UI 또는 API 설치 안내서로 진행하기 전에 IAM 및 KMS 구성이 올바른지 확인하십시오.