DocumentatieAEMHandboek

Door de klant beheerde toetsen ingesteld voor AEM as a Cloud Service customer-managed-keys-for-aem-as-a-cloud-service

Laatst bijgewerkt: 14 oktober 2025
  • Van toepassing op:
  • Experience Manager as a Cloud Service

Gemaakt voor:

  • Admin

AEM as a Cloud Service slaat momenteel klantgegevens op in Azure Blob Storage en MongoDB, waarbij standaard door de leverancier beheerde coderingssleutels worden gebruikt om gegevens te beveiligen. Terwijl deze opstelling aan de veiligheidsbehoeften van vele organisaties voldoet, streven de ondernemingen in gereglementeerde industrieën of die die verbeterde gegevensveiligheid vereisen grotere controle over hun encryptiepraktijken. Voor organisaties die prioriteit geven aan gegevensbeveiliging, compatibiliteit en de mogelijkheid om hun coderingssleutels te beheren, biedt de CMK-oplossing (Customer Managed Keys) een essentiële verbetering.

NOTE
Voordat u de Azure Key Vault configureert, moet u CMK eerst inschakelen voor uw Cloud Service-programma in Cloud Manager. CMK wordt toegelaten op het lusje van de Veiligheid tijdens de verwezenlijking van het productieprogramma of wanneer het uitgeven van een bestaand programma.
Zie ​ productieprogramma's ​ creëren of ​ Programma's ​ uitgeven.

Doel van deze oplossing the-problem-being-solved

Door de provider beheerde sleutels kunnen problemen veroorzaken voor bedrijven die extra privacy en integriteit nodig hebben. Zonder controle over zeer belangrijk beheer, staan de organisaties voor uitdagingen in het voldoen aan nalevingsvereisten, het uitvoeren van het beleid van de douaneveiligheid, en het verzekeren van volledige gegevensveiligheid.

De introductie van Customer Managed Keys (CMK) lost deze problemen op door AEM-klanten volledige controle te geven over hun coderingssleutels. Door verificatie via Microsoft Entra ID (voorheen Azure Active Directory) maakt AEM CS een veilige verbinding met de Azure Key Vault van de klant, zodat deze de levenscyclus van de coderingssleutels kan beheren, waaronder het maken, roteren en intrekken van sleutels.

CMK biedt verschillende voordelen:

  • beheert Gegevens en de Encryptie van de Toepassing: verhoog veiligheid met direct beheer van uw toepassing van AEM en gegevens cryptografische sleutels.
  • verbeter Vertrouwelijkheid en Integriteit: verklein de waarschijnlijkheid van onopzettelijke toegang en onthulling van gevoelige of merkgebonden gegevens met volledig encryptiebeheer.
  • de Zeer belangrijke Steun van Azure: het gebruik van de SleutelVault van Azure staat voor zeer belangrijke opslag toe, verwerkend geheime verrichtingen, en het uitvoeren van zeer belangrijke rotaties.

Door CMK aan te nemen, kunnen klanten de controle over hun gegevensbeveiliging en encryptiepraktijken verhogen, de veiligheid verbeteren en risico’s verlichten, terwijl het handhaven van de scalability en de flexibiliteit van AEM CS.

Met AEM as a Cloud Service kunt u uw eigen coderingssleutels gebruiken voor het coderen van gegevens in rust. Deze handleiding bevat stappen voor het instellen van een door de klant beheerde sleutel (CMK) in Azure Key Vault voor AEM as a Cloud Service.

WARNING
Nadat u CMK hebt ingesteld, kunt u niet terugkeren naar de toetsen die door het systeem worden beheerd. U bent verantwoordelijk voor het veilig beheren van uw sleutels en het bieden van toegang tot uw Key Vault-, Key- en CMK-app in Azure om te voorkomen dat de toegang tot uw gegevens verloren gaat.

Deze handleiding bevat de volgende stappen voor het maken en configureren van de vereiste infrastructuur:

  1. Uw omgeving instellen
  2. Een toepassings-id verkrijgen van Adobe
  3. Een nieuwe bronnengroep maken
  4. Een sleutelvault maken
  5. Adobe toegang verlenen tot de sleutelkluis
  6. Een coderingssleutel maken

U moet de URL van de sleutelkluis, de naam van de coderingssleutel en informatie over de sleutelvault delen met Adobe.

Uw omgeving instellen setup-your-environment

De interface van de Lijn van het Bevel van Azure (CLI) is het enige vereiste voor deze gids. Als u niet reeds geïnstalleerde Azure CLI hebt, volg hier de officiële installatieinstructies ​ ​.

Meld u aan bij uw CLI met az login voordat u doorgaat met de rest van deze handleiding.

NOTE
In deze handleiding wordt de Azure CLI gebruikt, maar u kunt dezelfde bewerkingen ook uitvoeren via de Azure-console. Als u liever de Azure-console gebruikt, gebruikt u de onderstaande opdrachten als referentie.

Het CMK-configuratieproces voor AEM as a Cloud Service starten request-cmk-for-aem-as-a-cloud-service

U moet de configuratie CMK (Customer Managed Keys) voor uw AEM as a Cloud Service-omgeving aanvragen via de gebruikersinterface. Om dit te doen, navigeer aan de Veiligheid UI van het Huis van AEM, onder de Klant Beheerde Sleutels sectie.
U kunt dan beginnen het onboarding proces door op het Begin onboarding knoop te klikken.

​ Begin op instapniveau van een website gebruikend CMK UI ​

Een toepassings-id verkrijgen van Adobe obtain-an-application-id-from-adobe

Na het starten van het instapproces biedt Adobe een Entra-toepassings-id. Deze toepassings-id is nodig voor de rest van de handleiding en maakt een servicepprincipal waarmee Adobe toegang heeft tot uw sleutelkluis. Als u nog geen toepassings-id hebt, wacht u tot Adobe deze heeft opgegeven.

​ het verzoek wordt proces, wacht op Adobe om identiteitskaart van de Toepassing te verstrekken Entra ​

Nadat het verzoek is voltooid, ziet u de toepassings-id in de CMK-interface.

​ Entra identiteitskaart van de Toepassing wordt verstrekt door Adobe ​

Een nieuwe bronnengroep maken create-a-new-resource-group

Creeer een nieuwe middelgroep in een plaats van uw keus.

# Choose a location and a name for the resource group.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Create the resource group.
az group create --location $location --resource-group $resourceGroup

Als u al een middelgroep hebt, gebruik het in plaats daarvan. In de rest van deze handleiding worden de locatie van de resourcegroep en de naam ervan aangeduid met respectievelijk $location en $resourceGroup .

Een sleutelvault maken create-a-key-vault

Maak een sleutelkluis voor de coderingssleutel. De sleutelvault moet ontruimingsbescherming hebben toegelaten. Ontdooiingsbescherming is nodig voor het versleutelen van gegevens in rust van andere Azure-services. Toegang tot een openbaar netwerk moet zijn ingeschakeld om ervoor te zorgen dat de Adobe-services toegang hebben tot de sleutelkluis.

IMPORTANT
Als u de toegang tot openbare netwerken voor de Key Vault uitschakelt, moet u bewerkingen uitvoeren zoals het maken van sleutels of rotatie vanuit een omgeving met netwerktoegang tot de Key Vault. Bijvoorbeeld een VM die toegang heeft tot de Key Vault.
# Reuse this information from the previous step.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Choose a name for the key vault.
$keyVaultName="<KEY VAULT NAME>"

# Create the key vault.
az keyvault create `
  --location $location `
  --resource-group $resourceGroup `
  --name $keyVaultName `
  --default-action=Allow `
  --enable-purge-protection `
  --enable-rbac-authorization `
  --public-network-access Enabled

Adobe toegang verlenen tot de sleutelkluis grant-adobe-access-to-the-key-vault

In deze stap geeft u Adobe via een Entra-toepassing toegang tot de keyvault. Adobe had de id van de Entra-toepassing al moeten opgeven.

Eerst, moet u een de diensthoofd tot stand brengen in bijlage aan de toepassing van de Entra en het toewijzen van de Zeer belangrijke Uitvault Reader en Zeer belangrijke CryptoGebruiker rollen. De rollen zijn beperkt tot de sleutelkluis die in deze gids wordt gecreeerd.

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# The application ID is provided by Adobe.
$appId="<APPLICATION ID>"

# Retrieve the ID of the key vault.
$keyVaultId=(az keyvault show --resource-group $resourceGroup --name $keyVaultName --query id --output tsv)

# Create a new service principal.
$servicePrincipalId=(az ad sp create --id $appId --query id --out tsv)

# Assign the roles to the service principal.
az role assignment create --assignee $servicePrincipalId --role "Key Vault Reader" --scope $keyVaultId
az role assignment create --assignee $servicePrincipalId --role "Key Vault Crypto User" --scope $keyVaultId

Een coderingssleutel maken create-an-encryption-key

Tot slot kunt u een encryptiesleutel in uw zeer belangrijke vault tot stand brengen. U hebt de Zeer belangrijke rol van de Medewerker Crypto van de Vault nodig om deze stap te voltooien. Om deze rol te hebben die aan u wordt verleend, contacteer uw systeembeheerder als de het programma geopende gebruiker deze rol niet heeft. U kunt ook een persoon die al die rol heeft, vragen om deze stap voor u te voltooien.

Netwerktoegang tot de sleutelkluis is is vereist om de coderingssleutel te maken. Controleer eerst of u toegang hebt tot de sleutelvault en ga verder met het maken van de sleutel:

# Reuse this information from the previous steps.
$keyVaultName="<KEY VAULT NAME>"

# Choose a name for your key.
$keyName="<KEY NAME>"

# Create the key.
az keyvault key create --vault-name $keyVaultName --name $keyName

De gegevens van de sleutelkluis delen share-the-key-vault-information

Op dit punt, is de configuratie volledig. Deel de vereiste informatie via de CMK-interface, waarmee het configuratieproces van de omgeving wordt gestart.

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# Retrieve the URL of your key vault.
$keyVaultUri=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.vaultUri `
    --output tsv)

# In addition we would need the tenantId and the subscriptionId in order to setup the connection.
$tenantId=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.tenantId `
    --output tsv)
$subscriptionId="<Subscription ID>"

Geef deze informatie op in de CMK-gebruikersinterface:
​ Vul de informatie in UI ​

Gevolgen van het intrekken van toetstoegang implications-of-revoking-key-access

Het intrekken of uitschakelen van de toegang tot de Key Vault-, Key- of CMK-toepassing kan leiden tot aanzienlijke operationele verstoringen van uw AEM as a Cloud Service-omgeving. Zodra deze sleutels worden onbruikbaar gemaakt, worden de gegevens in AEM as a Cloud Service ontoegankelijk, en om het even welke stroomafwaartse verrichtingen die op deze gegevens baseren houden op te functioneren. Het is van cruciaal belang dat u de mogelijke effecten begrijpt voordat u wijzigingen aanbrengt in uw sleutelconfiguraties.

Als u besluit om AEM as a Cloud Service toegang tot uw gegevens in te trekken, kunt u dit doen door de gebruikersrol die aan de toepassing is gekoppeld, uit de Key Vault in Azure te verwijderen.

Volgende stappen next-steps

Nadat u de vereiste informatie hebt opgegeven in de CMK-gebruikersinterface, start Adobe het configuratieproces voor uw AEM as a Cloud Service-omgeving. Dit proces vereist tijd, en u wordt op de hoogte gebracht zodra het wordt voltooid.

​ wacht op Adobe om het milieu te vormen.

De CMK-instelling voltooien complete-the-cmk-setup

Zodra het configuratieproces wordt voltooid, kunt u de status van uw opstelling CMK in UI zien. U kunt ook de sleutelvault en de encryptiesleutel zien.
​ het proces nu voltooide ​

Vragen en ondersteuning questions-and-support

Neem contact op met Adobe als u vragen hebt, vragen hebt of hulp nodig hebt bij de installatie van door Customer Managed Keys voor AEM as a Cloud Service. Adobe Support beantwoordt alle vragen die u hebt.

recommendation-more-help
experience-manager-cloud-service-help-main-toc