Documentação Experience Platform Visão geral da Experience Platform

Configurar o AWS KMS para chaves gerenciadas pelo cliente

Last update: Mon May 05 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Criado para:

Desenvolvedor
Usuário
Administrador
Líder

AVAILABILITY

Este documento se aplica às implementações do Experience Platform em execução no Amazon Web Services (AWS). O Experience Platform em execução no AWS está disponível atualmente para um número limitado de clientes. Para saber mais sobre a infraestrutura do Experience Platform compatível, consulte a visão geral da nuvem múltipla do Experience Platform.

As Chaves gerenciadas pelo cliente (CMK) do AWS são compatíveis com o Privacy and Security Shield, mas não estão disponíveis para o Healthcare Shield. O CMK no Azure é compatível com o Privacy Shield e o Security Shield, bem como com o Healthcare Shield.

Use este guia para proteger seus dados com o Serviço de Gerenciamento de Chaves (KMS) do Amazon Web Services (AWS) criando, gerenciando e controlando chaves de criptografia para o Adobe Experience Platform. Essa integração simplifica a conformidade, simplifica as operações por meio da automação e elimina a necessidade de manter sua própria infraestrutura de gerenciamento principal.

Para obter instruções específicas do Customer Journey Analytics, consulte a documentação do Customer Journey Analytics CMK

IMPORTANT

O Adobe Experience Platform criptografa dados em repouso por padrão usando chaves gerenciadas pelo sistema. Ao ativar o CMK (Customer Managed Keys, chaves gerenciadas pelo cliente), você assume o controle total da segurança de dados. No entanto, essa alteração é irreversível. Uma vez habilitado o CMK, você não poderá reverter para chaves gerenciadas pelo sistema. Você é responsável por gerenciar com segurança suas chaves para garantir acesso ininterrupto aos seus dados e evitar uma possível inacessibilidade.

Use o AWS KMS para melhorar a segurança dos dados com o gerenciamento integrado de chaves de criptografia para o Adobe Experience Platform. Siga este guia para criar e gerenciar chaves de criptografia, garantindo que seus dados permaneçam protegidos.

Pré-requisitos prerequisites

Antes de continuar com este documento, você deve ter uma boa compreensão dos seguintes conceitos e recursos principais:

Serviço de Gerenciamento de Chaves (KMS) da AWS: Entenda os fundamentos do KMS do AWS, incluindo como criar, gerenciar e girar chaves de criptografia. Consulte a documentação oficial do KMS para saber mais.
Políticas de Gerenciamento de Identidade e Acesso (IAM) no AWS: o IAM é um serviço que permite gerenciar com segurança o acesso aos serviços e recursos da AWS. Use o IAM para:
- Defina quais usuários, grupos e funções terão acesso a recursos específicos.
- Especifique quais ações os usuários têm permissão ou negação para executar.
- Implemente o controle de acesso refinado atribuindo permissões usando políticas IAM.
  Consulte a documentação oficial de Políticas do IAM para AWS KMS para obter mais informações.
Segurança de dados no Experience Platform: descubra como o Experience Platform garante a segurança de dados e se integra a serviços externos, como o AWS KMS, para criptografia. O Experience Platform protege dados com HTTPS TLS v1.2 para trânsito, criptografia de provedor de nuvem em repouso, armazenamento isolado e opções personalizáveis de autenticação e criptografia. Consulte a visão geral sobre governança, privacidade e segurança ou o documento sobre criptografia de dados na Experience Platform para obter mais informações sobre como manter seus dados seguros.
Console de Gerenciamento do AWS: um hub central onde você pode acessar e gerenciar todos os seus serviços da AWS de um aplicativo baseado na Web. Use a barra de pesquisa para rapidamente encontrar ferramentas, verificar notificações, gerenciar sua conta e faturamento e personalizar suas configurações. Consulte a documentação oficial do console de gerenciamento do AWS para obter mais informações.

Introdução get-started

Este guia requer que você já tenha acesso a uma conta da Amazon Web Services e acesso ao console de gerenciamento. Siga as etapas abaixo para começar:

Selecione uma região suportada select-supported-region

O AWS KMS está disponível em regiões específicas. Verifique se você está operando em uma região onde o KMS é suportado. Você pode exibir uma lista completa de regiões com suporte na lista de cotas e pontos de extremidade do AWS KMS.

Certifique-se de que a chave de criptografia do AWS KMS esteja na mesma região da instância do Adobe Experience Platform para manter a conformidade com os requisitos de residência de dados, otimizar o desempenho e evitar custos adicionais entre regiões. Regiões desalinhadas podem resultar em falhas de acessibilidade de dados e integração.

Verificar permissões verify-permissions

Verifique se você tem as permissões necessárias do AWS Identity and Access Management (IAM) para criar, gerenciar e usar chaves de criptografia no KMS. Para verificar suas permissões:

Acesse o Simulador de Políticas do IAM.
Selecione sua conta de usuário ou função.
Simular ações do KMS como kms:CreateKey ou kms:Encrypt.

Se a simulação retornar um erro ou se você não tiver certeza sobre suas permissões, consulte o administrador do AWS para obter assistência.

Verifique a configuração da sua conta do AWS

Confirme se sua conta do AWS está habilitada para usar os serviços KMS da AWS. A maioria das contas tem acesso ao KMS habilitado por padrão, mas você pode examinar a configuração de sua conta visitando o Console de Gerenciamento do AWS. Para obter mais detalhes, consulte o Guia do desenvolvedor do AWS Key Management Service.

Navegue até o AWS KMS para iniciar a configuração da chave

Para começar a configurar e gerenciar sua chave de criptografia, faça logon em sua conta do AWS e navegue até o Serviço de Gerenciamento de Chaves (KMS) da AWS. No Console de Gerenciamento do AWS, selecione KMS (Key Management Service) no menu de serviços.

Menu suspenso de pesquisa do Console de Gerenciamento AWS com Serviço de Gerenciamento de Chaves realçado.

Criar uma nova chave create-a-key

IMPORTANT

Garantir o armazenamento, o acesso e a disponibilidade seguros das chaves de criptografia. Você é responsável por gerenciar suas chaves e evitar interrupções nas operações do Experience Platform.

No espaço de trabalho Key Management Service (KMS), selecione Create a key.

O espaço de trabalho do Serviço de Gerenciamento de Chaves com a opção Criar uma chave foi realçada.

Definir configurações de chave configure-key

O fluxo de trabalho Configure Key é exibido. Por padrão, o tipo de chave é definido como Symmetric, e o uso da chave é definido como Encrypt and Decrypt. Verifique se essas opções estão selecionadas antes de continuar.

Etapa um do fluxo de trabalho Configurar chave com as opções Simétrico e Criptografar e Descriptografar básicas realçadas.

Expanda o menu suspenso Advanced options. É recomendável usar a opção KMS, que permite ao AWS criar e gerenciar o material principal. A opção KMS é selecionada por padrão.

NOTE

Se você já tiver uma chave existente, poderá importar o material da chave externa ou usar o armazenamento de chaves do AWS CloudHSM. Essas opções não estão cobertas pelo escopo deste documento.

Em seguida, selecione a configuração Regionality, que especifica o escopo de região da chave. Selecione Single-Region key, seguido por Next para prosseguir para a etapa dois.

IMPORTANT

O AWS impõe restrições de região para chaves KMS. Essa restrição de região significa que a chave deve estar na mesma região da conta do Adobe. O Adobe só pode acessar chaves KMS localizadas na região da sua conta. Verifique se a região selecionada corresponde à região da sua conta de locatário único do Adobe.

Etapa um da opção Configurar fluxo de trabalho principal com as opções avançadas de região do AWS, KMS e Região única realçadas.

Rotular e marcar sua chave add-labels-and-tags-to-key

O segundo estágio, Add labels, do fluxo de trabalho é exibido. Aqui, você configura os campos Alias e Tags para ajudá-lo a gerenciar e localizar sua chave de criptografia no console KMS do AWS.

Insira um rótulo descritivo para sua chave no campo de entrada Alias. O alias atua como um identificador amigável, para localizar rapidamente a chave usando a barra de pesquisa no console KMS do AWS. Para evitar confusão, escolha um nome significativo que reflita a finalidade da chave, como "Adobe-Experience-Platform-Key" ou "Customer-Encryption-Key". Você também pode incluir uma descrição da chave se o alias da chave for insuficiente para descrever sua finalidade.

Finalmente, atribua metadados à sua chave adicionando pares de valores chave na seção Tags. Essa etapa é opcional, mas você deve adicionar tags para categorizar e filtrar recursos do AWS para facilitar o gerenciamento. Por exemplo, se sua organização usar vários recursos relacionados à Adobe, você poderá marcá-los com "Adobe" ou "Experience Platform". Essa etapa extra facilita a pesquisa e o gerenciamento de todos os recursos associados no AWS Management Console. Selecione Add tag para iniciar o processo.

Quando estiver satisfeito com suas configurações, selecione Next para continuar o fluxo de trabalho.

Etapa dois da etapa Configurar fluxo de trabalho principal com Alias, Descrição, Marcas e Próximo realçados.

Definir as principais permissões administrativas define-key-admins

A etapa três do fluxo de trabalho de criação da chave é exibida. Para garantir acesso seguro e controlado, você pode escolher quais usuários e funções do IAM podem gerenciar a chave. Há duas opções neste estágio, Key administrators e Key deletion. Na seção Key administrators, marque uma ou mais caixas de seleção ao lado do nome de qualquer usuário ou função a qual você deseja conceder permissões de administrador para essa chave.

NOTE

Não é possível criar administradores neste estágio do fluxo de trabalho.

Na seção Key deletion, habilite a caixa de seleção para permitir que administradores de chaves tenham o direito de excluir essa chave. Se você não marcar a caixa de seleção, os usuários administrativos não poderão executar essa operação.

Selecione Next para continuar o fluxo de trabalho.

O estágio Definir permissões administrativas principais do fluxo de trabalho, com caixas de seleção e a próxima realçada.

Conceder acesso aos principais usuários assign-key-users

Na etapa quatro do fluxo de trabalho, você pode Define key usage permissions. Na lista Key users, marque as caixas de seleção de todos os usuários e funções do IAM que você deseja que tenham permissão para usar essa chave.

Nessa exibição, você também pode Add another AWS account; no entanto, não é recomendável adicionar outras contas da AWS. Adicionar outra conta pode apresentar riscos e complicar o gerenciamento de permissões para operações de criptografia e descriptografia. Ao manter a chave associada a uma única conta do AWS, a Adobe garante uma integração segura com o AWS KMS, minimizando riscos e garantindo uma operação confiável.

Selecione Next para continuar o fluxo de trabalho.

O estágio Definir permissões de uso de chave do fluxo de trabalho, com caixas de seleção e o próximo realçado.

Revisar configuração principal review

A etapa de revisão da configuração principal é exibida. Verifique os detalhes da chave nas seções Key configuration e Alias and description.

NOTE

Certifique-se de que a região da chave seja a mesma da conta do AWS.

O estágio Revisão do fluxo de trabalho com as seções Configuração de chave, Alias e descrição realçadas.

Selecione Confirm para concluir o processo. Você retorna ao espaço de trabalho Chaves gerenciadas pelo cliente KMS que lista todas as chaves disponíveis.

Próximas etapas

Depois que o AWS KMS for configurado, prossiga para configurar a integração usando a Configuração de Criptografia de Plataforma ou a API do Adobe Experience Platform. Para continuar o processo único de configuração do recurso Chaves gerenciadas pelo cliente, continue com o guia de configuração da interface.

recommendation-more-help

5741548a-2e07-44b3-9157-9c181502d0c5