DocumentatieExperience PlatformOverzicht van Experience Platform

Door de klant beheerde sleutels voor Azure instellen en configureren met behulp van de API

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Onderwerpen:
  • API

Gemaakt voor:

  • Ontwikkelaar

In dit document worden de Azure-specifieke instructies besproken voor het inschakelen van Customer Managed Keys (CMK) in Adobe Experience Platform met behulp van de API. Voor instructies op hoe te om dit proces te voltooien gebruikend UI voor de ver*schonken instanties van Experience Platform, verwijs naar het ​ UI CMK opstellingsdocument ​.

Voor AWS-specifieke instructies, verwijs naar de ​ opstellingsgids van AWS ​.

Vereisten

Als u de sectie Encryption in Adobe Experience Platform wilt weergeven en bezoeken, moet u een rol hebben gemaakt en Manage Customer Managed Key toestemming aan die rol hebben toegewezen. Elke gebruiker met de machtiging Manage Customer Managed Key kan CMK inschakelen voor zijn of haar organisatie.

Voor meer informatie bij het toewijzen van rollen en toestemmingen in Experience Platform, verwijs naar ​ vormen toestemmingendocumentatie ​.

Om CMK voor ver*halen-ontvangen instanties van Experience Platform toe te laten, moet uw Azure Zeer belangrijke vault ​ met de volgende montages worden gevormd:

De CMK-toepassing instellen register-app

Nadat u uw sleutelkluis hebt gevormd, is de volgende stap voor de toepassing te registreren CMK die aan uw Azure huurder zal verbinden.

Aan de slag

Als u de CMK-toepassing registreert, moet u oproepen naar Experience Platform API's doen. Voor details op hoe te om de vereiste authentificatiekopballen te verzamelen om deze vraag te maken, zie de ​ Experience Platform API authentificatiegids ​.

Hoewel de verificatiegids instructies bevat over het genereren van uw eigen unieke waarde voor de vereiste x-api-key aanvraagheader, gebruiken alle API-bewerkingen in deze handleiding in plaats daarvan de statische waarde acp_provisioning . U moet echter wel uw eigen waarden opgeven voor {ACCESS_TOKEN} en {ORG_ID} .

In alle API-aanroepen die in deze handleiding worden weergegeven, wordt platform.adobe.io gebruikt als het hoofdpad, dat standaard overeenkomt met het VA7-gebied. Als uw organisatie een ander gebied gebruikt, moet platform worden gevolgd door een streepje en de regiocode die aan uw organisatie is toegewezen: nld2 for NLD2 of aus5 for AUS5 (bijvoorbeeld: platform-aus5.adobe.io). Als u het gebied van uw organisatie niet kent, contacteer uw systeembeheerder.

URL voor verificatie ophalen fetch-authentication-url

Als u het registratieproces wilt starten, dient u een GET-aanvraag in bij het eindpunt van de toepassingsregistratie om de vereiste verificatie-URL voor uw organisatie op te halen.

Verzoek

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Reactie

Een geslaagde reactie retourneert een eigenschap applicationRedirectUrl die de verificatie-URL bevat.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Kopieer en plak het applicationRedirectUrl -adres in een browser om een verificatiedialoogvenster te openen. Selecteer Accept om de principal van de CMK-toepassingsservice aan de Azure -gebruiker toe te voegen.

de dialoog van het de toestemmingsverzoek van Microsoft met Accept benadrukt.

De CMK-toepassing toewijzen aan een rol assign-to-role

Navigeer na het voltooien van het verificatieproces terug naar de Azure Key Vault en selecteer Access control in de linkernavigatie. Selecteer hier Add gevolgd door Add role assignment .

Microsoft Azure dashboard met Add en Add role assignment benadrukte.

In het volgende scherm wordt u gevraagd een rol voor deze toewijzing te kiezen. Selecteer Key Vault Crypto Service Encryption User voordat u Next selecteert om door te gaan.

NOTE
Als u de laag Managed-HSM Key Vault hebt, moet u de gebruikersrol Managed HSM Crypto Service Encryption User selecteren.

Microsoft Azure dashboard met Key Vault Crypto Service Encryption User benadrukt.

Kies in het volgende scherm Select members om een dialoogvenster te openen in de rechtertrack. Gebruik de zoekbalk om de serviceprincipal voor de CMK-toepassing te zoeken en selecteer deze in de lijst. Selecteer Save als u klaar bent.

NOTE
Als u uw toepassing niet in de lijst kunt vinden, dan is uw de diensthoofd niet in uw huurder goedgekeurd. U kunt controleren of u de juiste rechten hebt door samen te werken met uw Azure -beheerder of -vertegenwoordiger.

Configuratie van coderingssleutel inschakelen in Experience Platform send-to-adobe

Nadat u de CMK-toepassing op Azure hebt geïnstalleerd, kunt u de id van de coderingssleutel naar Adobe sturen. Selecteer Keys in de linkernavigatie, gevolgd door de naam van de sleutel u wilt verzenden.

Microsoft Azure dashboard met het Keys voorwerp en de zeer belangrijke benadrukte naam.

Selecteer de meest recente versie van de sleutel en de detailpagina wordt weergegeven. Van hier, kunt u naar keuze de toegelaten verrichtingen voor de sleutel vormen.

IMPORTANT
De minimaal vereiste bewerkingen die voor de toets zijn toegestaan, zijn de machtigingen Wrap Key en Unwrap Key . U kunt Encrypt, Decrypt, Sign en Verify desgewenst opnemen.

In het veld Key Identifier wordt de URI-id voor de sleutel weergegeven. Kopieer deze URI-waarde voor gebruik in de volgende stap.

Microsoft Azure Belangrijkste details van het dashboard met Permitted operations en de benadrukt secties van de exemplaarsleutel URL.

Nadat u de sleutelvault-URI hebt verkregen, kunt u deze met een POST-aanvraag naar het CMK-configuratiepunt verzenden.

NOTE
Alleen de sleutelvault en de sleutelnaam worden opgeslagen met Adobe, niet de zeer belangrijke versie.

Verzoek

Een voorbeeldverzoek om sleutel-URI naar het CMK-configuratiepunt te verzenden.
code language-shell 
curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2
Eigenschap Beschrijving
name Een naam voor de configuratie. Zorg ervoor dat u deze waarde herinnert aangezien het wordt vereist om de status van de configuratie bij a ​ later stap ​ te controleren. De waarde is hoofdlettergevoelig.
type Het configuratietype. Moet worden ingesteld op BYOK_CONFIG .
imsOrgId Uw organisatie-id. Deze id moet dezelfde waarde hebben als de header x-gw-ims-org-id .
configData

This property contains the following details about the configuration:

  • providerType : moet worden ingesteld op AZURE_KEYVAULT .
  • keyVaultKeyIdentifier: De belangrijkste kluis URI die u ​ vroeger ​ kopieerde.

Reactie

De succesvolle reactie keert de details van de configuratietaak terug.
code language-json 
{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{ORG_ID}",
    "status": "NEW"
  },
  "status": "CREATED"
}

De taak moet de verwerking binnen een paar minuten voltooien.

De status van de configuratie controleren check-status

Om de status van het configuratieverzoek te controleren, kunt u een GET-verzoek indienen.

Verzoek

U moet name van de configuratie toevoegen u aan de weg (config1 in het voorbeeld hieronder) wilt controleren en een configType vraagparameter omvatten die aan BYOK_CONFIG wordt geplaatst.

Een steekproefverzoek om de status van het configuratieverzoek te controleren.
code language-shell 
curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Reactie

De geslaagde reactie retourneert de status van de taak.
code language-json 
{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{ORG_ID}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

Het kenmerk status kan een van vier waarden hebben met de volgende betekenissen:

  1. RUNNING: hiermee wordt gevalideerd dat Experience Platform toegang heeft tot de sleutel- en toetsvault.
  2. UPDATE_EXISTING_RESOURCES: het systeem voegt de sleutelvault en sleutelnaam aan de datastores over alle zandbakken in uw organisatie toe.
  3. COMPLETED: De sleutelvault en sleutelnaam zijn toegevoegd aan de datastores.
  4. FAILED: Er heeft zich een probleem voorgedaan dat voornamelijk te maken heeft met de toepassingsinstellingen voor de toepassing key, key vault of multi-agent.

Volgende stappen

Door de bovenstaande stappen te voltooien, hebt u CMK voor uw organisatie ingeschakeld. Voor Experience Platform-instanties die in Azure worden gehost, worden gegevens die in de primaire gegevensopslag worden ingevoerd, nu gecodeerd en gedecodeerd met de sleutel(s) in de Azure Key Vault.

Meer over gegevensencryptie in Adobe Experience Platform leren, zie de ​ encryptiedocumentatie ​.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5