Door klanten beheerde toetsen in Adobe Experience Platform
Gegevens die op Adobe Experience Platform zijn opgeslagen, worden in rust gecodeerd met systeemtoetsen. Als u een toepassing gebruikt die op Experience Platform is gebouwd, kunt u ervoor kiezen om uw eigen coderingssleutels te gebruiken, zodat u meer controle hebt over de gegevensbeveiliging.
Dit document biedt een uitgebreid overzicht van het proces voor het inschakelen van de CMK-functie (Customer Managed Keys) in Experience Platform in Azure en AWS, samen met de vereiste informatie die vereist is om deze stappen te voltooien.
Vereisten
Om CMK in te schakelen, moet de hostingomgeving van uw platform (Azure of AWS) voldoen aan specifieke configuratievereisten:
Algemene voorwaarden
Als u de sectie Encryption in Adobe Experience Platform wilt weergeven en openen, moet u een rol hebben gemaakt en de machtiging Manage Customer Managed Key aan die rol hebben toegewezen. Elke gebruiker met de machtiging Manage Customer Managed Key kan CMK inschakelen voor zijn of haar organisatie.
Voor meer informatie bij het toewijzen van rollen en toestemmingen in Experience Platform, verwijs naar vormen toestemmingendocumentatie .
Azure-specifieke voorwaarden
Voor Azure-gehoste implementaties configureert u de Azure Key Vault met de volgende instellingen:
AWS-specifieke voorwaarden
Voor AWS-gehoste implementaties configureert u de AWS-omgeving als volgt:
- Controleer of u rechten hebt om coderingssleutels te beheren met behulp van AWS Identity and Access Management (IAM). Voor details, zie het IAM Beleid voor AWS KMS .
- Stel AWS KMS in met ondersteuning voor CMK. Verwijs naar de gids van de de gegevensencryptie van AWS KMS .
Procesoverzicht process-summary
CMK (Customer Managed Keys) is beschikbaar via het aanbod van het Adobe Healthcare Shield and Privacy and Security Shield. In Azure wordt CMK ondersteund voor zowel Healthcare Shield als Privacy en Security Shield. In AWS wordt CMK alleen ondersteund voor Privacy en Security Shield en is CMK niet beschikbaar voor Healthcare Shield. Nadat uw organisatie een licentie voor een van deze aanbiedingen heeft aangeschaft, kunt u het eenmalige installatieproces starten om CMK in te schakelen.
Het proces is als volgt:
Voor Azure azure-process-summary
- vorm een Azure Zeer belangrijke die vault op het beleid van uw organisatie wordt gebaseerd, dan produceert een encryptiesleutel met Adobe te delen.
- Opstelling CMK app met uw Azure huurder door of API vraag of UI .
- Verzend uw encryptie zeer belangrijke identiteitskaart naar Adobe en begin het enablement proces voor de eigenschap, of in UI of met een API vraag .
- Controleer de status van de configuratie om te verifiëren of CMK, of in UI of met een API vraag is toegelaten.
Zodra het installatieproces is voltooid voor Experience Platform-instanties die in Azure worden gehost, worden alle gegevens die in Experience Platform in alle sandboxen worden ingevoerd, gecodeerd met de toetsencombinatie Azure . Om CMK te gebruiken, zult u hefboomwerking Microsoft Azure functionaliteit die deel van hun openbaar voorproefprogramma kan uitmaken.
Voor AWS aws-process-summary
- Opstelling AWS KMS door een encryptiesleutel te vormen die met Adobe moet worden gedeeld.
- Volg de AWS-specifieke instructies in de UI opstellingsgids .
- Valideer de instelling om te bevestigen dat Experience Platform-gegevens zijn versleuteld met de door AWS gehoste sleutel.
Zodra het installatieproces is voltooid voor Experience Platform-instanties die door AWS worden gehost, worden alle gegevens die in Experience Platform in alle sandboxen zijn opgeslagen, gecodeerd met de configuratie van uw AWS Key Management Service (KMS). Als u CMK op AWS wilt gebruiken, gebruikt u de AWS Key Management Service om uw coderingssleutels te maken en te beheren in overeenstemming met de beveiligingsvereisten van uw organisatie.
Gevolgen van het intrekken van toetstoegang revoke-access
Als u de toegang tot de Key Vault-, Key- of CMK-toepassing in Azure of de coderingssleutel in AWS intrekt of uitschakelt, kan dit leiden tot aanzienlijke verstoringen, zoals het doorbreken van wijzigingen in uw Experience Platform-bewerkingen. Als toetsen eenmaal zijn uitgeschakeld, kunnen gegevens in Experience Platform ontoegankelijk worden en zullen downstreambewerkingen die op deze gegevens vertrouwen, niet meer werken. Het is van cruciaal belang dat u de downstreameffecten volledig begrijpt voordat u wijzigingen aanbrengt in uw sleutelconfiguraties.
Als u de toegang van Experience Platform tot uw gegevens in Azure wilt intrekken, verwijdert u de gebruikersrol die aan de toepassing is gekoppeld uit de Key Vault. Voor AWS kunt u de toets uitschakelen of de beleidsinstructie bijwerken. Voor gedetailleerde instructies op het proces van AWS, verwijs naar de zeer belangrijke intrekkingssectie .
Tijdlijnen voor doorgave propagation-timelines
Nadat de toetstoegang is ingetrokken vanuit de Azure Key Vault, worden de wijzigingen als volgt doorgegeven:
Het dashboard Profiel zal bijvoorbeeld gegevens van zijn geheime voorgeheugen blijven tonen tot zeven dagen alvorens de gegevens verlopen en worden verfrist. Op dezelfde manier duurt het opnieuw inschakelen van toegang tot de toepassing even lang om de beschikbaarheid van gegevens in deze opslagruimten te herstellen.
Volgende stappen
Het proces starten:
- Voor Azure: Begin door vormend een Azure Zeer belangrijke Uitvault en produceert een encryptiesleutel om met Adobe te delen.
- Voor AWS: opstelling AWS KMS en verzekert juiste configuraties IAM en KMS alvorens aan UI of API opstellingshulplijnen te werk te gaan.