Chaves gerenciadas pelo cliente no Adobe Experience Platform

Os dados armazenados no Adobe Experience Platform são criptografados em repouso usando chaves de nível de sistema. Se você estiver usando um aplicativo criado sobre a Platform, poderá optar por usar suas próprias chaves de criptografia, fornecendo maior controle sobre a segurança dos dados.

NOTE
Os dados no data lake da Adobe Experience Platform e no Armazenamento de perfis são criptografados usando CMK. Eles são considerados seus principais armazenamentos de dados.

Este documento fornece uma visão geral de alto nível do processo de ativação do recurso de chaves gerenciadas pelo cliente (CMK) na Platform e as informações de pré-requisitos necessárias para concluir essas etapas.

NOTE
Para clientes do Customer Journey Analytics, siga as instruções no Documentação do Customer Journey Analytics.

Pré-requisitos

Para visualizar e visitar o Criptografia no Adobe Experience Platform, você deve ter criado uma função e atribuído a Gerenciar Chave Gerenciada Pelo Cliente permissão para essa função. Qualquer usuário que tenha o Gerenciar Chave Gerenciada Pelo Cliente permissão pode habilitar o CMK para sua organização.

Para obter mais informações sobre atribuição de funções e permissões no Experience Platform, consulte o configurar documentação de permissões.

Para habilitar o CMK, seu Azure O Cofre da Chave deve ser configurado com as seguintes configurações:

Leia a documentação vinculada para entender melhor o processo.

Resumo do processo process-summary

A CMK está incluída nas ofertas Healthcare Shield e Privacy and Security Shield da Adobe. Depois que sua organização comprar uma licença para uma dessas ofertas, você poderá iniciar um processo único para configurar o recurso.

WARNING
Após configurar o CMK, não é possível reverter para chaves gerenciadas pelo sistema. Você é responsável por gerenciar com segurança suas chaves e fornecer acesso ao Cofre da chave, Chave e aplicativo CMK no Azure para evitar a perda de acesso aos seus dados.

O processo é o seguinte:

  1. Configurar um Azure Cofre da Chave com base nas políticas de sua organização, em seguida gerar uma chave de criptografia que será compartilhado com o Adobe.
  2. Configure o aplicativo CMK com seu Azure inquilino por meio de Chamadas de API ou o IU.
  3. Envie sua ID de chave de criptografia para o Adobe e inicie o processo de ativação do recurso na interface ou com um Chamada de API.
  4. Verifique o status da configuração para verificar se o CMK foi ativado na interface ou com um Chamada de API.

Quando o processo de configuração estiver concluído, todos os dados integrados na Platform em todas as sandboxes serão criptografados usando o Azure configuração de chave. Para usar CMK, você aproveitará Microsoft Azure funcionalidade que pode fazer parte do seu programa de visualização pública.

Revogar acesso revoke-access

Se quiser revogar o acesso do Platform aos seus dados, você poderá remover a função de usuário associada à aplicação do cofre de chaves no Azure.

WARNING
Desabilitar o cofre de chaves, a Chave ou o aplicativo CMK pode resultar em uma mudança radical. Quando o cofre de chaves, a chave ou o aplicativo CMK estiverem desativados e os dados não estiverem mais acessíveis na Platform, nenhuma operação downstream relacionada a esses dados será mais possível. Certifique-se de entender os impactos de downstream da revogação do acesso da Platform à sua chave antes de fazer alterações na configuração.

Após remover o acesso à chave ou desabilitar/excluir a chave do Azure cofre de chaves, pode levar de alguns minutos a 24 horas para que essa configuração se propague para os armazenamentos de dados principais. Os fluxos de trabalho da plataforma também incluem armazenamentos de dados em cache e transitórios, necessários para o desempenho e a funcionalidade principal do aplicativo. A propagação da revogação de CMK por meio desses armazenamentos em cache e transitórios pode levar até sete dias, conforme determinado por seus workflows de processamento de dados. Por exemplo, isso significa que o painel Perfil manteria e exibiria dados de seu armazenamento de dados em cache e levaria sete dias para expirar os dados mantidos nos armazenamentos de dados em cache como parte do ciclo de atualização. O mesmo atraso se aplica para que os dados fiquem disponíveis novamente ao reativar o acesso ao aplicativo.

NOTE
Há duas exceções específicas de caso de uso para a expiração do conjunto de dados de sete dias em dados não primários (em cache/transitórios). Consulte a respectiva documentação para obter mais informações sobre esses recursos.

Próximas etapas

Para iniciar o processo, comece em configurar um Azure Cofre da Chave e gerar uma chave de criptografia para compartilhar com o Adobe.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5