DocumentatieExperience PlatformOverzicht van Experience Platform

Door de klant beheerde toetsen instellen en configureren met AWS via de interface van Experience Platform

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Ontwikkelaar
  • Gebruiker
  • Beheerder
  • Leider

Met deze handleiding kunt u CMK (Customer Managed Keys) inschakelen voor Experience Platform-instanties die via de Experience Platform-gebruikersinterface op AWS worden gehost.

IMPORTANT
Alvorens u met deze gids verdergaat, zorg ervoor u de opstelling hebt voltooid die in ​ wordt gedetailleerd "vormt AWS KMS voor CMK" document.

Het sleutelbeleid van AWS bijwerken om de sleutel met Experience Platform te integreren

Als u uw AWS-sleutel wilt integreren met Experience Platform, moet u de JSON bewerken in het gedeelte Key Policy van de KMS-werkruimte. Een standaardsleutelbeleid ziet er ongeveer hetzelfde uit als de JSON hieronder.

{
  "Id": "key-consolepolicy-3",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123464903283:root" // this is a mock AWS Principal ID, your ID will differ
      },
      "Action": "kms:*",
      "Resource": "*"
    }
  ]
}

In het bovenstaande voorbeeld hebben alle bronnen ("Resource": "*") binnen dezelfde account (Principal.AWS ) toegang tot de sleutel. Dit beleid staat de diensten in de rekening toe om encryptie en decryptieverrichtingen uit te voeren, die tot de gespecificeerde rekening worden beperkt. Als u uw Experience Platform-account voor één gebruiker toegang tot deze sleutel wilt verlenen, voegt u nieuwe instructies toe aan het standaard AWS-beleid. U kunt het vereiste JSON-beleid verkrijgen via de gebruikersinterface van Experience Platform en dit toepassen op uw AWS KMS-sleutel om een veilige verbinding met Adobe Experience Platform tot stand te brengen.

Ga in de gebruikersinterface van Experience Platform naar de sectie Administration in de linkernavigatieregel en selecteer Encryption . Selecteer Configure in de Customer Managed Keys -kaart in de Encryption Configuration -werkruimte.

de werkruimte van de Configuratie van de Encryptie van Experience Platform met Configure die in de Klant Beheerde Sleutelkaart wordt benadrukt.

De lus Customer Managed Keys configuration wordt weergegeven. Kopieer het statement -object uit het CMK KMS-beleid dat wordt weergegeven in Customer Managed Keys Encryption Configuration .

de Klant Beheerde configuratie van Sleutels met het getoonde beleid CMK KMS.

Ga vervolgens terug naar de AWS KMS-werkruimte en werk het onderstaande sleutelbeleid bij.

het stadium van het Overzicht van het werkschema met het bijgewerkte benadrukte beleid en Afwerking.

Voeg aan het standaardbeleid de vier instructies van de werkruimte Platform Encryption Configuration toe, zoals hieronder wordt weergegeven: Enable IAM User Permissions, CJA Flow IAM User Permissions, CJA Integrity IAM User Permissions, CJA Oberon IAM User Permissions .

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::975049898882:root" // this is a mock AWS Principal ID, your ID will differ
            },
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": "975049898882" // this is a mock AWS Principal ID, your ID will differ
                }
            }
        },
        {
            "Sid": "CJA Flow IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::767397686373:root"
            },
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": "767397686373"
                }
            }
        },
        {
            "Sid": "CJA Integrity IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::730335345392:root"
            },
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": "730335345392"
                }
            }
        },
        {
            "Sid": "CJA Oberon IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::891377157113:root"
            },
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": "891377157113"
                }
            }
        }
    ]
}

Selecteer Finish om het bijgewerkte beleid te bevestigen en de sleutel te maken. De configuratie bevat nu vijf instructies, waarmee uw AWS-account kan communiceren met Adobe Experience Platform. De wijzigingen worden onmiddellijk van kracht.

De bijgewerkte Customer Managed Keys werkruimte van de AWS Key Management Service wordt weergegeven.

AWS-coderingssleutelgegevens toevoegen aan Experience Platform

Voeg vervolgens de Amazon Resource Name (ARN) van de sleutel aan uw Experience Platform Customer Managed Keys configuration toe om codering in te schakelen. Selecteer in de sectie Customer Managed Keys van AWS de alias van de nieuwe sleutel in de lijst in Key Management Service .

de Klant van AWS KMS Beheerde de werkruimte van Sleutels met de nieuwe belangrijke alias benadrukt.

De details van uw sleutel worden getoond. Alles in AWS heeft een Amazon Resource Name (ARN) die
is een unieke id die wordt gebruikt om bronnen op te geven voor verschillende AWS-services. De notatie volgt een gestandaardiseerde notatie: arn:partition:service:region:account-id:resource.

Selecteer het kopieerpictogram om uw ARN te kopiëren. Er wordt een bevestigingsvenster weergegeven.

de belangrijkste details van uw AWS KMS Klant Beheerde Sleutel met ARN benadrukte.

Navigeer nu terug naar de gebruikersinterface van Experience Platform Customer Managed Keys configuration . Voeg in de sectie Add AWS encryption key details een Configuration name en de KMS key ARN toe die u uit de gebruikersinterface van AWS hebt gekopieerd.

de werkruimte van de Configuratie van de Encryptie van Experience Platform met de naam van de Configuratie en KMS zeer belangrijke ARN die in Add wordt benadrukt de zeer belangrijke sectie van de Gegevens van de encryptie van AWS.

Selecteer vervolgens SAVE om de configuratienaam, de KMS-sleutel ARN en de validatie van de toets te starten.

de werkruimte van de Configuratie van de Encryptie van Experience Platform met sparen benadrukt.

U wordt teruggestuurd naar de werkruimte van Encryption Configurations . De status van de coderingsconfiguratie wordt onder aan de Customer Managed Keys -kaart weergegeven.

de werkruimte van de Configuraties van de Encryptie in Experience Platform UI met Verwerking die op de Klant Beheerde Sleutelkaart wordt benadrukt.

Nadat de sleutel is gevalideerd, worden de sleutelvault-id's toegevoegd aan het dataroopbestand en de profieldatastores voor alle sandboxen.

NOTE
De duur van het proces is afhankelijk van de grootte van uw gegevens. Doorgaans wordt het proces binnen 24 uur voltooid. Elke sandbox wordt meestal binnen twee tot drie minuten bijgewerkt.

Toetsintrekking key-revocation

IMPORTANT
Begrijp de implicaties van zeer belangrijke intrekking op stroomafwaartse toepassingen alvorens u om het even welke toegang herroept.

Hier volgen enkele belangrijke overwegingen voor het intrekken van toetsen:

  • Als u de toets intrekt of uitschakelt, zijn uw Experience Platform-gegevens ontoegankelijk. Deze actie is onomkeerbaar en dient met voorzichtigheid te worden uitgevoerd.
  • Denk aan de tijdlijnen van de propagatie wanneer de toegang tot encryptiesleutels wordt ingetrokken. De primaire gegevensopslag wordt binnen een paar minuten tot 24 uur ontoegankelijk. Gegevensopslag in cache of van voorbijgaande aard is binnen zeven dagen ontoegankelijk.

Als u een toets wilt intrekken, navigeert u naar de AWS KMS-werkruimte. In de sectie Customer managed keys worden alle beschikbare sleutels voor uw AWS-account weergegeven. Selecteer de alias van uw sleutel in de lijst.

de Klant van AWS KMS Beheerde de werkruimte van Sleutels met de nieuwe belangrijke alias benadrukt.

De details van uw sleutel worden getoond. Selecteer Key actions en Disable in het vervolgkeuzemenu om de toets uit te schakelen.

de details van uw sleutel van AWS in AWS KMS UI met Zeer belangrijke acties en maak benadrukte onbruikbaar.

Er wordt een bevestigingsvenster weergegeven. Selecteer Disable key om uw keuze te bevestigen. Het effect van het uitschakelen van de sleutel moet binnen ongeveer vijf minuten worden weerspiegeld in Experience Platform-toepassingen en de gebruikersinterface.

NOTE
Nadat u de toets hebt uitgeschakeld, kunt u de toets weer inschakelen met dezelfde methode die hierboven is beschreven, als dat nodig is. Deze optie is beschikbaar in het vervolgkeuzemenu Key actions .

onbruikbaar maken zeer belangrijk dialoog met onbruikbaar maakt benadrukte sleutel.

Als uw sleutel ook in andere services wordt gebruikt, kunt u de toegang voor Experience Platform rechtstreeks uit het sleutelbeleid verwijderen. Selecteer Edit in de sectie Key Policy .

de detailssectie van de sleutel van AWS met uitgezocht in de Belangrijkste beleidssectie.

De pagina Edit key policy wordt weergegeven. Markeer en verwijder de beleidsinstructie, gekopieerd uit de gebruikersinterface van Experience Platform, om de machtigingen voor de door Klant beheerde toetsenapp te verwijderen. Selecteer vervolgens Save changes om het proces te voltooien.

geeft zeer belangrijke beleidswerkruimte op AWS met de verklaringJSON voorwerp en sparen benadrukte veranderingen uit.

Toetsrotatie key-rotation

AWS biedt automatisch en op aanvraag sleutelrotatie. Om het risico van zeer belangrijk compromis te verminderen of aan veiligheids nalevingsvereisten te voldoen, kunt u nieuwe encryptiesleutels automatisch produceren op bestelling, of met regelmatige intervallen. Plan automatische sleutelomwenteling om de levensduur van een sleutel te beperken en ervoor te zorgen dat als een sleutel wordt gecompromitteerd, het na omwenteling onbruikbaar wordt. Terwijl moderne encryptiealgoritmen hoogst veilig zijn, is de zeer belangrijke omwenteling van de sleutel een belangrijke veiligheidsnalevingsmaatregel en toont aanhang aan veiligheid beste praktijken.

Automatische sleutelrotatie automatic-key-rotation

Automatisch roteren van toetsen is standaard uitgeschakeld. Als u automatische sleutelrotatie vanuit de KMS-werkruimte wilt plannen, selecteert u de tab Key rotation , gevolgd door Edit in de Automatic key rotation section .

de detailssectie van de sleutel van AWS met Zeer belangrijke omwenteling en uitgezocht geeft uit.

De werkruimte van Edit automatic key rotation wordt weergegeven. Selecteer hier het keuzerondje om automatisch roteren van toetsen in of uit te schakelen. Kies vervolgens het tekstinvoerveld of het vervolgkeuzemenu om een tijdsperiode voor de toetsrotatie te kiezen. Selecteer Save om uw instellingen te bevestigen en terug te keren naar de werkruimte met de belangrijkste details.

NOTE
De minimale rotatieperiode is 90 dagen en het maximum is 2560 dagen.

de Edit automatische zeer belangrijke werkruimte van de omwenteling met de omwentelingsperiode en sparen benadrukte.

Sleutelrotatie op aanvraag on-demand-key-rotation

Selecteer Rotate Now om een directe toetsrotatie uit te voeren als de huidige toets is ingedrukt. AWS beperkt deze functie tot tien rotaties. Voor regelmatig onderhoud moet u in plaats daarvan automatische toetsrotaties plannen.

de detailssectie van de sleutel van AWS met nu benadrukt Roteren.

Volgende stappen

Nadat u dit document hebt gelezen, hebt u geleerd hoe u coderingssleutels in AWS KMS for Adobe Experience Platform kunt maken, configureren en beheren. Controleer vervolgens het beveiligings- en compatibiliteitsbeleid van uw organisatie om de beste praktijken te implementeren, zoals het plannen van belangrijke rotaties en het garanderen van veilige sleutelopslag.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5