Chaves gerenciadas pelo cliente no Adobe Experience Platform
Os dados armazenados no Adobe Experience Platform são criptografados em repouso usando chaves de nível de sistema. Se você estiver usando um aplicativo criado sobre a Platform, poderá optar por usar suas próprias chaves de criptografia, fornecendo maior controle sobre a segurança dos dados.
Este documento fornece uma visão geral de alto nível do processo de ativação do recurso de chaves gerenciadas pelo cliente (CMK) na Platform e as informações de pré-requisitos necessárias para concluir essas etapas.
Pré-requisitos
Para exibir e visitar a seção Criptografia no Adobe Experience Platform, você deve ter criado uma função e atribuído a permissão Gerenciar chave gerenciada pelo cliente a essa função. Qualquer usuário com a permissão Gerenciar Chave gerenciada pelo cliente pode habilitar o CMK para sua organização.
Para obter mais informações sobre atribuição de funções e permissões no Experience Platform, consulte a documentação sobre configuração de permissões.
Para habilitar o CMK, o Cofre de Chaves do Azure deve ser configurado com as seguintes configurações:
Leia a documentação vinculada para entender melhor o processo.
Resumo do processo process-summary
A CMK está incluída nas ofertas Healthcare Shield e Privacy and Security Shield da Adobe. Depois que sua organização comprar uma licença para uma dessas ofertas, você poderá iniciar um processo único para configurar o recurso.
O processo é o seguinte:
- Configure um Azure Cofre de Chaves com base nas políticas da sua organização e gere uma chave de criptografia que será compartilhada com o Adobe.
- Configure o aplicativo CMK com seu locatário Azure por meio de chamadas de API ou da interface.
- Envie sua ID de chave de criptografia para o Adobe e inicie o processo de habilitação do recurso na interface ou com uma chamada de API.
- Verifique o status da configuração para verificar se o CMK foi habilitado na interface ou com uma chamada de API.
Quando o processo de configuração estiver concluído, todos os dados integrados na Platform em todas as sandboxes serão criptografados usando a configuração de chave do Azure. Para usar o CMK, você aproveitará a funcionalidade Microsoft Azure que pode fazer parte do programa de visualização pública.
Revogar acesso revoke-access
Se quiser revogar o acesso da Platform aos seus dados, você poderá remover a função de usuário associada ao aplicativo do cofre de chaves no Azure.
Após remover o acesso à chave ou desabilitar/excluir a chave do cofre de chaves do Azure, pode levar de alguns minutos a 24 horas para que essa configuração se propague para os armazenamentos de dados principais. Os fluxos de trabalho da plataforma também incluem armazenamentos de dados em cache e transitórios, necessários para o desempenho e a funcionalidade principal do aplicativo. A propagação da revogação de CMK por meio desses armazenamentos em cache e transitórios pode levar até sete dias, conforme determinado por seus workflows de processamento de dados. Por exemplo, isso significa que o painel Perfil manteria e exibiria dados de seu armazenamento de dados em cache e levaria sete dias para expirar os dados mantidos nos armazenamentos de dados em cache como parte do ciclo de atualização. O mesmo atraso se aplica para que os dados fiquem disponíveis novamente ao reativar o acesso ao aplicativo.
Próximas etapas
Para iniciar o processo, comece configurando um Azure Cofre de Chaves e gerando uma chave de criptografia para compartilhar com o Adobe.