DocumentatieExperience PlatformOverzicht van Experience Platform

Door klanten beheerde toetsen in Adobe Experience Platform

Last update: Wed Jan 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Onderwerpen:

Gemaakt voor:

  • Ontwikkelaar

Gegevens die op Adobe Experience Platform zijn opgeslagen, worden in rust gecodeerd met systeemtoetsen. Als u een toepassing gebruikt die bovenop Platform wordt gebouwd, kunt u verkiezen om uw eigen encryptiesleutels in plaats daarvan te gebruiken, die u grotere controle over uw gegevensveiligheid geven.

AVAILABILITY
Adobe Experience Platform ondersteunt Customer Managed Keys (CMK) voor zowel Microsoft Azure als Amazon Web Services (AWS). Experience Platform dat op AWS wordt uitgevoerd, is momenteel beschikbaar voor een beperkt aantal klanten. Als uw implementatie op AWS wordt uitgevoerd, kunt u de Key Management Service (KMS) gebruiken voor gegevenscodering van het platform. Voor meer informatie over de gesteunde infrastructuur, zie het Experience Platform multi-cloud overzicht.
Om over encryptie zeer belangrijke verwezenlijking en beheer in AWS KMS te leren, verwijs naar de handleiding van de gegevensencryptie van AWS KMS. Voor Azure implementaties, zie de Azure Zeer belangrijke de configuratiegids van de Vault.
NOTE
Voor Azure gehoste platforminstanties worden de gegevens van het klantprofiel die zijn opgeslagen in de platformprofielen Azure Data Lake en Azure Cosmos DB van het profielarchief, uitsluitend gecodeerd met CMK nadat deze zijn ingeschakeld. De zeer belangrijke herroeping in primaire gegevensopslag kan overal van een paar notulen aan 24 uren en tot 7 dagen voor transient of secundaire gegevensopslag nemen. Voor extra details, verwijs naar de implicaties van het intrekken van zeer belangrijke toegangssectie.

Dit document biedt een uitgebreid overzicht van het proces voor het inschakelen van de CMK-functie (Customer Managed Keys) in Platform in Azure en AWS, samen met de vereiste informatie die nodig is om deze stappen te voltooien.

NOTE
Voor de klanten van de Customer Journey Analytics, te volgen gelieve de instructies in de documentatie van de Customer Journey Analytics.

Vereisten

Om CMK in te schakelen, moet de hostingomgeving van uw platform (Azure of AWS) voldoen aan specifieke configuratievereisten:

Algemene voorwaarden

Als u de sectie Encryption in Adobe Experience Platform wilt weergeven en openen, moet u een rol hebben gemaakt en de machtiging Manage Customer Managed Key aan die rol hebben toegewezen. Elke gebruiker met de machtiging Manage Customer Managed Key kan CMK inschakelen voor zijn of haar organisatie.

Voor meer informatie bij het toewijzen van rollen en toestemmingen in Experience Platform, verwijs naar vormen toestemmingendocumentatie.

Azure-specifieke voorwaarden

Voor Azure-gehoste implementaties configureert u de Azure Key Vault met de volgende instellingen:

AWS-specifieke voorwaarden

Voor AWS-gehoste implementaties configureert u de AWS-omgeving als volgt:

Procesoverzicht process-summary

CMK (Customer Managed Keys) is beschikbaar via het aanbod van het gezondheidsschild en het privacyschild van Adobe. In Azure wordt CMK ondersteund voor zowel Healthcare Shield als Privacy en Security Shield. In AWS wordt CMK alleen ondersteund voor Privacy en Security Shield en is CMK niet beschikbaar voor Healthcare Shield. Nadat uw organisatie een licentie voor een van deze aanbiedingen heeft aangeschaft, kunt u het eenmalige installatieproces starten om CMK in te schakelen.

WARNING
Nadat u CMK hebt ingesteld, kunt u niet terugkeren naar de toetsen die door het systeem worden beheerd. U bent verantwoordelijk voor het veilig beheren van uw sleutels om te voorkomen dat de toegang tot uw gegevens verloren gaat.

Het proces is als volgt:

Voor Azure azure-process-summary

  1. vorm een Azure Zeer belangrijke die vaultop het beleid van uw organisatie wordt gebaseerd, dan produceert een encryptiesleutelmet Adobe te delen.
  2. Opstelling CMK app met uw Azure huurder door of API vraagof UI.
  3. Verzend uw encryptie zeer belangrijke identiteitskaart aan Adobe en begin het enablement proces voor de eigenschap, of in UIof met een API vraag.
  4. Controleer de status van de configuratie om te verifiëren of CMK, of in UIof met een API vraagis toegelaten.

Zodra het installatieproces is voltooid voor Azure-hosted Platform-instanties, worden alle gegevens die in het platform worden ingevoerd voor alle sandboxen versleuteld met behulp van de Azure -toetsencombinatie. Om CMK te gebruiken, zult u hefboomwerking Microsoft Azure functionaliteit die deel van hun openbaar voorproefprogrammakan uitmaken.

Voor AWS aws-process-summary

  1. Opstelling AWS KMSdoor een encryptiesleutel te vormen die met Adobe moet worden gedeeld.
  2. Volg de AWS-specifieke instructies in de UI opstellingsgids.
  3. Valideer de instellingen om te bevestigen dat de gegevens van het platform worden gecodeerd met de op AWS gehoste sleutel.

Zodra het installatieproces is voltooid voor door AWS gehoste platforminstanties, worden alle gegevens die in het platform worden ingevoerd voor alle sandboxen gecodeerd met de configuratie van de AWS Key Management Service (KMS). Als u CMK op AWS wilt gebruiken, gebruikt u de AWS Key Management Service om uw coderingssleutels te maken en te beheren in overeenstemming met de beveiligingsvereisten van uw organisatie.

Gevolgen van het intrekken van toetstoegang revoke-access

Als u de toegang tot de Key Vault-, Key- of CMK-toepassing in Azure of de coderingssleutel in AWS intrekt of uitschakelt, kan dit leiden tot aanzienlijke verstoringen, zoals het doorbreken van wijzigingen in de activiteiten van uw platform. Als toetsen eenmaal zijn uitgeschakeld, kunnen gegevens in Platform niet meer toegankelijk worden en zullen downstreambewerkingen die op deze gegevens vertrouwen, niet meer werken. Het is van cruciaal belang dat u de downstreameffecten volledig begrijpt voordat u wijzigingen aanbrengt in uw sleutelconfiguraties.

Als u de toegang van het platform tot uw gegevens in Azure wilt intrekken, verwijdert u de gebruikersrol die aan de toepassing is gekoppeld uit de Key Vault. Voor AWS kunt u de toets uitschakelen of de beleidsinstructie bijwerken. Voor gedetailleerde instructies op het proces van AWS, verwijs naar de zeer belangrijke intrekkingssectie.

Tijdlijnen voor doorgave propagation-timelines

Nadat de toetstoegang is ingetrokken vanuit de Azure Key Vault, worden de wijzigingen als volgt doorgegeven:

Type van opslag
Beschrijving
Tijdlijn
Primaire gegevensopslag
Omvat gegevensmeren (Azure Data Lake, AWS S3) en Azure Cosmos DB Profile stores. Zodra toetstoegang wordt ingetrokken, worden de gegevens ontoegankelijk.
A enkele notulen aan 24 uren.
Gegevensopslag in cache/transient
Omvat secundaire gegevensopslag die voor prestaties en kerntoepassingsfunctionaliteit wordt gebruikt. De gevolgen van een belangrijke intrekking worden vertraagd.
tot 7 dagen.

Het dashboard Profiel zal bijvoorbeeld gegevens van zijn geheime voorgeheugen blijven tonen tot zeven dagen alvorens de gegevens verlopen en worden verfrist. Op dezelfde manier duurt het opnieuw inschakelen van toegang tot de toepassing even lang om de beschikbaarheid van gegevens in deze opslagruimten te herstellen.

NOTE
Het opnieuw inschakelen van toegang tot de toepassing kan even veel tijd in beslag nemen als het intrekken van het verzoek om de beschikbaarheid van gegevens in deze opslagruimten te herstellen.
TIP
Er zijn twee gebruik-geval-specifieke uitzonderingen op de zeven dagen datasetvervaldatum op niet primaire (caching/transient) gegevens. Raadpleeg de documentatie bij deze pagina voor meer informatie over deze functies.

Volgende stappen

Het proces starten:

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5