Chaves gerenciadas pelo cliente no Adobe Experience Platform

Os dados armazenados no Adobe Experience Platform são criptografados em repouso usando chaves de nível de sistema. Se você estiver usando um aplicativo criado sobre a Platform, poderá optar por usar suas próprias chaves de criptografia, fornecendo maior controle sobre a segurança dos dados.

NOTE
Os dados no data lake e no armazenamento de perfis da Adobe Experience Platform são criptografados usando CMK. Eles são considerados seus principais armazenamentos de dados.

Este documento fornece uma visão geral de alto nível do processo de ativação do recurso de chaves gerenciadas pelo cliente (CMK) na Platform e as informações de pré-requisitos necessárias para concluir essas etapas.

NOTE
Para clientes do Customer Journey Analytics, siga as instruções na documentação do Customer Journey Analytics.

Pré-requisitos

Para exibir e visitar a seção Criptografia no Adobe Experience Platform, você deve ter criado uma função e atribuído a permissão Gerenciar chave gerenciada pelo cliente a essa função. Qualquer usuário com a permissão Gerenciar Chave gerenciada pelo cliente pode habilitar o CMK para sua organização.

Para obter mais informações sobre atribuição de funções e permissões no Experience Platform, consulte a documentação sobre configuração de permissões.

Para habilitar o CMK, o Cofre de Chaves do Azure deve ser configurado com as seguintes configurações:

Leia a documentação vinculada para entender melhor o processo.

Resumo do processo process-summary

A CMK está incluída nas ofertas Healthcare Shield e Privacy and Security Shield da Adobe. Depois que sua organização comprar uma licença para uma dessas ofertas, você poderá iniciar um processo único para configurar o recurso.

WARNING
Após configurar o CMK, não é possível reverter para chaves gerenciadas pelo sistema. Você é responsável por gerenciar com segurança suas chaves e fornecer acesso ao Cofre da Chave, Chave e aplicativo CMK no Azure para evitar a perda de acesso aos seus dados.

O processo é o seguinte:

  1. Configure um Azure Cofre de Chaves com base nas políticas da sua organização e gere uma chave de criptografia que será compartilhada com o Adobe.
  2. Configure o aplicativo CMK com seu locatário Azure por meio de chamadas de API ou da interface.
  3. Envie sua ID de chave de criptografia para o Adobe e inicie o processo de habilitação do recurso na interface ou com uma chamada de API.
  4. Verifique o status da configuração para verificar se o CMK foi habilitado na interface ou com uma chamada de API.

Quando o processo de configuração estiver concluído, todos os dados integrados na Platform em todas as sandboxes serão criptografados usando a configuração de chave do Azure. Para usar o CMK, você aproveitará a funcionalidade Microsoft Azure que pode fazer parte do programa de visualização pública.

Revogar acesso revoke-access

Se quiser revogar o acesso da Platform aos seus dados, você poderá remover a função de usuário associada ao aplicativo do cofre de chaves no Azure.

WARNING
Desabilitar o cofre de chaves, a Chave ou o aplicativo CMK pode resultar em uma mudança radical. Quando o cofre de chaves, a chave ou o aplicativo CMK estiverem desativados e os dados não estiverem mais acessíveis na Platform, nenhuma operação downstream relacionada a esses dados será mais possível. Certifique-se de entender os impactos de downstream da revogação do acesso da Platform à sua chave antes de fazer alterações na configuração.

Após remover o acesso à chave ou desabilitar/excluir a chave do cofre de chaves do Azure, pode levar de alguns minutos a 24 horas para que essa configuração se propague para os armazenamentos de dados principais. Os fluxos de trabalho da plataforma também incluem armazenamentos de dados em cache e transitórios, necessários para o desempenho e a funcionalidade principal do aplicativo. A propagação da revogação de CMK por meio desses armazenamentos em cache e transitórios pode levar até sete dias, conforme determinado por seus workflows de processamento de dados. Por exemplo, isso significa que o painel Perfil manteria e exibiria dados de seu armazenamento de dados em cache e levaria sete dias para expirar os dados mantidos nos armazenamentos de dados em cache como parte do ciclo de atualização. O mesmo atraso se aplica para que os dados fiquem disponíveis novamente ao reativar o acesso ao aplicativo.

NOTE
Há duas exceções específicas de caso de uso para a expiração do conjunto de dados de sete dias em dados não primários (em cache/transitórios). Consulte a respectiva documentação para obter mais informações sobre esses recursos.

Próximas etapas

Para iniciar o processo, comece configurando um Azure Cofre de Chaves e gerando uma chave de criptografia para compartilhar com o Adobe.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5