DocumentaçãoExperience PlatformVisão geral da Experience Platform

Chaves gerenciadas pelo cliente no Adobe Experience Platform

Last update: Fri Apr 04 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Tópicos:

Criado para:

  • Desenvolvedor

Os dados armazenados no Adobe Experience Platform são criptografados em repouso usando chaves de nível de sistema. Se você estiver usando um aplicativo criado com base no Experience Platform, poderá optar por usar suas próprias chaves de criptografia, fornecendo maior controle sobre a segurança dos dados.

AVAILABILITY
A Adobe Experience Platform oferece suporte a Chaves gerenciadas pelo cliente (CMK) para Microsoft Azure e Amazon Web Services (AWS). O Experience Platform em execução no AWS está disponível atualmente para um número limitado de clientes. Se sua implementação for executada no AWS, você terá a opção de usar o Serviço de Gerenciamento de Chaves (KMS) para criptografia de dados do Experience Platform. Para obter mais informações sobre a infraestrutura com suporte, consulte a visão geral de várias nuvens do Experience Platform.
Para saber mais sobre a criação e o gerenciamento de chaves de criptografia no AWS KMS, consulte o Guia de criptografia de dados do AWS KMS. Para implementações do Azure, consulte o guia de configuração do Cofre de Chaves do Azure.
NOTE
Para instâncias do Experience Platform hospedadas Azure, os dados de perfil do cliente armazenados no Azure Data Lake da Experience Platform e no armazenamento de perfil do Azure Cosmos DB são criptografados exclusivamente usando CMK depois de habilitados. A revogação de chaves em armazenamentos de dados primários pode levar de alguns minutos a 24 horas e até 7 dias para armazenamentos de dados transitórios ou secundários. Para obter detalhes adicionais, consulte a seção implicações da revogação do acesso à chave.

Este documento fornece uma visão geral de alto nível do processo de habilitação do recurso de Chaves Gerenciadas pelo Cliente (CMK) no Experience Platform no Azure e no AWS, juntamente com as informações de pré-requisitos necessárias para concluir essas etapas.

NOTE
Para clientes do Customer Journey Analytics, siga as instruções na documentação do Customer Journey Analytics.

Pré-requisitos

Para habilitar o CMK, o ambiente de hospedagem da sua plataforma (Azure ou AWS) deve atender aos requisitos de configuração específicos:

Pré-requisitos gerais

Para exibir e acessar a seção Criptografia no Adobe Experience Platform, você deve ter criado uma função e atribuído a permissão Gerenciar Chave Gerenciada pelo Cliente a essa função. Qualquer usuário com a permissão Gerenciar Chave gerenciada pelo cliente pode habilitar o CMK para sua organização.

Para obter mais informações sobre atribuição de funções e permissões no Experience Platform, consulte a documentação sobre configuração de permissões.

Pré-requisitos específicos do Azure

Para implementações hospedadas pelo Azure, configure o Cofre de Chaves Azure com as seguintes configurações:

Pré-requisitos específicos do AWS

Para implementações hospedadas pela AWS, configure o ambiente do AWS da seguinte maneira:

Resumo do processo process-summary

O Customer Managed Keys (CMK) está disponível através das ofertas Healthcare Shield e Privacy and Security Shield da Adobe. No Azure, o CMK é compatível com o Healthcare Shield e o Privacy and Security Shield. No AWS, o CMK é compatível apenas com o Privacy and Security Shield e não está disponível para o Healthcare Shield. Assim que sua organização comprar uma licença para uma dessas ofertas, você poderá iniciar o processo de configuração único para ativar o CMK.

WARNING
Após configurar o CMK, não é possível reverter para chaves gerenciadas pelo sistema. Você é responsável por gerenciar com segurança as chaves para evitar a perda de acesso aos dados.

O processo é o seguinte:

Para o Azure azure-process-summary

  1. Configure um Azure Cofre de Chaves com base nas políticas da sua organização e gere uma chave de criptografia para compartilhar com a Adobe.
  2. Configure o aplicativo CMK com seu locatário Azure por meio de chamadas de API ou da interface.
  3. Envie sua ID de chave de criptografia para a Adobe e inicie o processo de habilitação do recurso, seja na interface ou com uma chamada de API.
  4. Verifique o status da configuração para verificar se o CMK foi habilitado, na interface ou com uma chamada de API.

Quando o processo de configuração for concluído para instâncias do Experience Platform hospedadas no Azure, todos os dados integrados no Experience Platform em todas as sandboxes serão criptografados usando a configuração de chave Azure. Para usar o CMK, você aproveitará a funcionalidade Microsoft Azure que pode fazer parte do programa de visualização pública.

Para AWS aws-process-summary

  1. Configure o AWS KMS configurando uma chave de criptografia a ser compartilhada com o Adobe.
  2. Siga as instruções específicas do AWS no guia de configuração da interface.
  3. Valide a configuração para confirmar se os dados do Experience Platform estão criptografados usando a chave hospedada pela AWS.

Quando o processo de configuração for concluído para instâncias do Experience Platform hospedadas pela AWS, todos os dados integrados no Experience Platform em todas as sandboxes serão criptografados usando a configuração do Serviço de Gerenciamento de Chaves (KMS) da AWS. Para usar o CMK no AWS, você usará o Serviço de gerenciamento de chaves da AWS para criar e gerenciar as chaves de criptografia de acordo com os requisitos de segurança da sua organização.

Implicações da revogação do acesso à chave revoke-access

Revogar ou desabilitar o acesso ao Cofre de Chaves, chave ou aplicativo CMK no Azure ou à chave de criptografia no AWS pode resultar em interrupções significativas, que incluem alterações irrelevantes nas operações da Experience Platform. Depois que as chaves forem desativadas, os dados no Experience Platform poderão ficar inacessíveis e qualquer operação de downstream que depende desses dados deixará de funcionar. É fundamental entender totalmente os impactos downstream antes de fazer qualquer alteração nas principais configurações.

Para revogar o acesso do Experience Platform aos seus dados no Azure, remova a função de usuário associada ao aplicativo do Cofre da Chave. Para o AWS, você pode desativar a chave ou atualizar a declaração de política. Para obter instruções detalhadas sobre o processo AWS, consulte a seção de revogação de chaves.

Linhas do tempo de propagação propagation-timelines

Depois que o acesso à chave for revogado do Cofre de Chaves do Azure, as alterações serão propagadas da seguinte maneira:

Tipo de armazenamento
Descrição
Linha do tempo
Armazenamentos de dados principais
Inclui armazenamentos de Data Lake (Azure Data Lake, AWS S3) e Perfil do Azure Cosmos DB. Quando o acesso à chave é revogado, os dados ficam inacessíveis.
De alguns minutos a 24 horas.
Armazenamento de dados em cache/transitório
Inclui armazenamentos de dados secundários usados para desempenho e funcionalidade de aplicativos principais. O impacto da revogação de chave está atrasado.
Até 7 dias.

Por exemplo, o painel Perfil continuará exibindo dados de seu cache por até sete dias antes de os dados expirarem e serem atualizados. Da mesma forma, a reativação do acesso ao aplicativo leva o mesmo tempo para restaurar a disponibilidade dos dados nesses armazenamentos.

NOTE
A reativação do acesso ao aplicativo pode levar o mesmo tempo que a revogação para restaurar a disponibilidade dos dados nesses armazenamentos.
TIP
Há duas exceções específicas de caso de uso para a expiração do conjunto de dados de sete dias em dados não primários (em cache/transitórios). Consulte a respectiva documentação para obter mais informações sobre esses recursos.

Próximas etapas

Para iniciar o processo:

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5