Definir e configurar chaves gerenciadas pelo cliente com o AWS usando a interface do usuário do Experience Platform
Use este guia para habilitar o CMK (Customer Managed Keys, Chaves gerenciadas pelo cliente) para instâncias do Experience Platform hospedadas no AWS por meio da interface do usuário do Experience Platform.
Atualize a política principal do AWS para integrar a chave ao Experience Platform
Para integrar sua chave do AWS ao Experience Platform, edite o JSON na seção Key Policy do espaço de trabalho do KMS. Uma política de chave padrão é semelhante ao JSON abaixo.
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123464903283:root" // this is a mock AWS Principal ID, your ID will differ
},
"Action": "kms:*",
"Resource": "*"
}
]
}
No exemplo acima, todos os recursos ("Resource": "*") na mesma conta (Principal.AWS) podem acessar a chave. Essa política permite que os serviços na conta executem operações de criptografia e descriptografia, restritas à conta especificada. Para conceder acesso a essa chave à sua conta de locatário único do Experience Platform, adicione novas instruções à política padrão do AWS. Você pode obter a política JSON necessária na interface do usuário do Experience Platform e aplicá-la à chave KMS do AWS para estabelecer uma conexão segura com o Adobe Experience Platform.
Na interface do Experience Platform, vá para a seção Administração no painel de navegação esquerdo e selecione Criptografia. No espaço de trabalho Configuração de criptografia, selecione Configurar no cartão Chaves gerenciadas pelo cliente.
A configuração de Chaves gerenciadas pelo cliente é exibida. Copie o objeto statement da política KMS CMK exibida na Configuração de Criptografia das Chaves Gerenciadas pelo Cliente.
Em seguida, retorne ao espaço de trabalho do AWS KMS e atualize a política principal mostrada abaixo.
Adicione à política padrão as quatro instruções do espaço de trabalho Configuração de Criptografia de Plataforma, conforme visto abaixo: Enable IAM User Permissions, CJA Flow IAM User Permissions, CJA Integrity IAM User Permissions, CJA Oberon IAM User Permissions.
{
"Version": "2012-10-17",
"Id": "key-consolepolicy",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::975049898882:root" // this is a mock AWS Principal ID, your ID will differ
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "975049898882" // this is a mock AWS Principal ID, your ID will differ
}
}
},
{
"Sid": "CJA Flow IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::767397686373:root"
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "767397686373"
}
}
},
{
"Sid": "CJA Integrity IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::730335345392:root"
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "730335345392"
}
}
},
{
"Sid": "CJA Oberon IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::891377157113:root"
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "891377157113"
}
}
}
]
}
Selecione Finish para confirmar a política atualizada e criar a chave. A configuração agora inclui cinco instruções, permitindo que sua conta da AWS se comunique com a Adobe Experience Platform. As alterações entrarão em vigor imediatamente.
O espaço de trabalho Customer Managed Keys atualizado do AWS Key Management Service é exibido.
Adicionar detalhes da chave de criptografia do AWS ao Experience Platform
Em seguida, para habilitar a criptografia, adicione o ARN (Nome de Recurso da Amazon) da chave à sua configuração de Chaves gerenciadas pelo cliente do Experience Platform. Na seção Customer Managed Keys do AWS, selecione o alias da nova chave na lista do Key Management Service.
Os detalhes da sua chave são exibidos. Tudo no AWS tem um ARN (Amazon Resource Name, nome de recurso da) que
é um identificador exclusivo usado para especificar recursos nos serviços da AWS. O formato é padronizado como: arn:partition:service:region:account-id:resource.
Selecione o ícone de cópia para copiar seu ARN. Uma caixa de diálogo de confirmação é exibida.
Agora, volte para a configuração de Chaves gerenciadas pelo cliente da Experience Platform. Na seção Adicionar detalhes da chave de criptografia do AWS, adicione um Nome da configuração e a chave ARN do KMS copiada da interface do usuário do AWS.
Em seguida, selecione SALVAR para enviar o nome da configuração, a chave KMS ARN e iniciar a validação da chave.
Você retornou ao espaço de trabalho Configurações de Criptografia. O status da configuração de criptografia é exibido na parte inferior do cartão Chaves gerenciadas pelo cliente.
Depois que a chave é validada, os identificadores do cofre de chaves são adicionados aos armazenamentos de dados do data lake e do perfil para todas as sandboxes.
Revogação de chave key-revocation
Estas são as principais considerações para a revogação de chaves:
- Revogar ou desabilitar a chave tornará os dados do Experience Platform inacessíveis. Essa ação é irreversível e deve ser executada com cuidado.
- Considere os cronogramas de propagação quando o acesso às chaves de criptografia for revogado. Os armazenamentos de dados principais ficam inacessíveis em alguns minutos a 24 horas. Os armazenamentos de dados em cache ou transitórios ficam inacessíveis em sete dias.
Para revogar uma chave, navegue até o espaço de trabalho do AWS KMS. A seção Customer managed keys exibe todas as chaves disponíveis para sua conta do AWS. Selecione o alias da chave na lista.
Os detalhes da sua chave são exibidos. Para desabilitar a tecla, selecione Key actions e depois Disable no menu suspenso.
Uma caixa de diálogo de confirmação é exibida. Selecione Disable key para confirmar sua escolha. O impacto de desabilitar a chave deve ser refletido nos aplicativos da Experience Platform e na interface do usuário dentro de aproximadamente cinco minutos.
Como alternativa, se a chave for usada em outros serviços, é possível remover o acesso ao Experience Platform diretamente da política de chaves. Selecione Editar na seção Key Policy.
A página Edit key policy é exibida. Realce e exclua a declaração de política, copiada da interface do usuário do Experience Platform, para remover as permissões do aplicativo Chaves gerenciadas pelo cliente. Em seguida, selecione Save changes para concluir o processo.
Rotação de chaves key-rotation
O AWS oferece rotação de chaves automática e sob demanda. Para reduzir o risco de comprometimento da chave ou atender aos requisitos de conformidade de segurança, você pode gerar automaticamente novas chaves de criptografia sob demanda ou em intervalos regulares. Agende a rotação de chaves automática para limitar o tempo de vida de uma chave e garantir que, se ela for comprometida, ficará inutilizável após a rotação. Embora os modernos algoritmos de criptografia sejam altamente seguros, a rotação de chaves é uma importante medida de conformidade de segurança e demonstra adesão às práticas recomendadas de segurança.
Rotação de chaves automática automatic-key-rotation
A rotação de chaves automática está desativada por padrão. Para agendar a rotação de chaves automática no espaço de trabalho do KMS, selecione a guia Key rotation, seguida de Edit em Automatic key rotation section.
O espaço de trabalho Edit automatic key rotation é exibido. Aqui, selecione o botão de opção para ativar ou desativar a rotação de chaves automática. Em seguida, use o campo de entrada de texto ou o menu suspenso para escolher um período para a rotação de chaves. Selecione Save para confirmar suas configurações e retornar ao espaço de trabalho de detalhes principais.
Rotação de chaves sob demanda on-demand-key-rotation
Selecione Rotate Now para executar uma rotação de chaves imediata se a chave atual estiver comprometida. O AWS limita esse recurso a 10 rotações. Para manutenção regular, programe rotações de chaves automáticas.
Próximas etapas
Depois de ler este documento, você aprendeu a criar, configurar e gerenciar chaves de criptografia no AWS KMS para Adobe Experience Platform. Em seguida, analise as políticas de segurança e conformidade de sua organização para implementar as práticas recomendadas, como agendar rotações de chaves e garantir o armazenamento seguro de chaves.