Definir e configurar chaves gerenciadas pelo cliente para o Azure usando a interface do usuário do Experience Platform

Este documento aborda as instruções específicas do Azure para habilitar o recurso Chaves gerenciadas pelo cliente (CMK) no Experience Platform usando a interface do. Para obter instruções específicas do AWS, consulte o guia de instalação do AWS.

Para obter instruções sobre como concluir esse processo para instâncias do Experience Platform hospedadas no Azure usando a API, consulte o documento de configuração do CMK da API.

Pré-requisitos

Para exibir e visitar a seção Criptografia no Adobe Experience Platform, você deve ter criado uma função e atribuído a permissão Gerenciar chave gerenciada pelo cliente a essa função. Qualquer usuário com a permissão Gerenciar Chave gerenciada pelo cliente pode habilitar o CMK para sua organização.

Para obter mais informações sobre atribuição de funções e permissões no Experience Platform, consulte a documentação sobre configuração de permissões.

Para habilitar o CMK, o Azure Cofre da Chave deve ser configurado com as seguintes configurações:

Configurar o aplicativo CMK register-app

Após configurar o cofre de chaves, a próxima etapa é registrar o aplicativo CMK que será vinculado ao locatário Azure.

Introdução

Para exibir o painel Configurações de criptografia, selecione Criptografia no cabeçalho Administração da barra lateral de navegação esquerda.

Selecione Configurar para abrir a exibição Chaves gerenciadas pelo cliente. Este espaço de trabalho contém todos os valores necessários para concluir as etapas descritas abaixo e executar a integração com seu Cofre de Chaves do Azure.

Copiar URL de autenticação copy-authentication-url

Para iniciar o processo de registro, copie a URL de autenticação de aplicativo da sua organização da exibição Configuração de chaves gerenciadas pelo cliente e cole-a no ambiente Azure Key Vault Crypto Service Encryption User. Detalhes sobre como atribuir uma função são fornecidos na próxima seção.

Selecione o ícone de cópia ( ) pela URL de autenticação do aplicativo.

Copie e cole a URL de autenticação do aplicativo em um navegador para abrir uma caixa de diálogo de autenticação. Selecione Accept para adicionar a entidade de serviço do aplicativo CMK ao locatário Azure. A confirmação da autenticação redireciona você para a página inicial do Experience Cloud.

IMPORTANT

Se você tiver várias assinaturas Microsoft Azure, poderá conectar sua instância do Experience Platform ao cofre de chaves incorreto. Nessa situação, você deve trocar a seção common do nome da URL de autenticação do aplicativo pela ID do diretório CMK.
Copie a ID do diretório CMK da página Configurações do Portal, Diretórios e Assinaturas do aplicativo Microsoft Azure

Em seguida, cole-o na barra de endereços do navegador.

Atribuir o aplicativo CMK a uma função assign-to-role

Após concluir o processo de autenticação, volte para o Cofre da Chave do Azure e selecione Access control na navegação à esquerda. Aqui, selecione Add seguido por Add role assignment.

A próxima tela solicita que você escolha uma função para esta atribuição. Selecione Key Vault Crypto Service Encryption User antes de selecionar Next para continuar.

Na próxima tela, escolha Select members para abrir uma caixa de diálogo no painel direito. Use a barra de pesquisa para localizar a entidade de serviço para a aplicação CMK e selecione-a na lista. Quando terminar, selecione Save.

Você pode verificar o aplicativo comparando a exibição ID do Aplicativo fornecida na configuração de Chaves Gerenciadas pelo Cliente com a Application ID fornecida na visão geral do aplicativo Microsoft Azure.

Todos os detalhes necessários para verificar as ferramentas do Azure estão incluídos na interface do Experience Platform. Esse nível de granularidade é fornecido quando muitos usuários desejam usar outras ferramentas do Azure para aprimorar sua capacidade de monitorar e registrar esses aplicativos no acesso ao cofre de chaves. Entender esses identificadores é essencial para essa finalidade e para ajudar os serviços da Adobe a acessar a chave.

Ativar a configuração da chave de criptografia no Experience Platform send-to-adobe

Depois de instalar o aplicativo CMK em Azure, você pode enviar seu identificador de chave de criptografia para a Adobe. Selecione Keys na navegação à esquerda, seguido pelo nome da chave que você deseja enviar.

Selecione a versão mais recente da chave e sua página de detalhes será exibida. Aqui, você pode configurar opcionalmente as operações permitidas para a chave.

O campo Identificador de Chave exibe o identificador de URI para a chave. Copie este valor de URI para usar na próxima etapa.

Depois de obter o Key vault URI, retorne à exibição Configuração de chaves gerenciadas pelo cliente e insira um nome de configuração descritivo. Em seguida, adicione a Key Identifier retirada da página de detalhes da Chave do Azure ao Identificador da chave do cofre de chaves e selecione Salvar.

Você retornou ao painel de configurações de criptografia. O status da configuração Chaves gerenciadas pelo cliente é exibido como Processando.

Verificar o status da configuração check-status

Permita um tempo significativo para o processamento. Para verificar o status da configuração, retorne à exibição Chaves gerenciadas pelo cliente e role para baixo até o Status da configuração. A barra de progresso avançou para a etapa um de três e explica que o sistema está validando se o Experience Platform tem acesso à chave e ao cofre de chaves.

Há quatro status possíveis da configuração do CMK. Elas são as seguintes:

Próximas etapas

Ao concluir as etapas acima, você habilitou o CMK com êxito para sua organização hospedada no Azure. Os dados assimilados nos armazenamentos de dados principais agora serão criptografados e descriptografados usando a(s) chave(s) no Cofre da Chave do Azure.

Depois de habilitar o CMK para sua organização hospedada no Azure, monitore o uso de chaves, implemente uma política de rotação de chaves para melhorar a segurança e garanta a conformidade com as políticas de sua organização.