Definir e configurar chaves gerenciadas pelo cliente usando a interface do usuário da plataforma

Este documento aborda o processo de ativação do recurso de chaves gerenciadas pelo cliente (CMK) na Platform usando a interface do usuário. Para obter instruções sobre como concluir esse processo usando a API, consulte o documento de configuração do CMK da API.

Pré-requisitos

Para exibir e visitar a seção Criptografia no Adobe Experience Platform, você deve ter criado uma função e atribuído a permissão Gerenciar chave gerenciada pelo cliente a essa função. Qualquer usuário com a permissão Gerenciar Chave gerenciada pelo cliente pode habilitar o CMK para sua organização.

Para obter mais informações sobre atribuição de funções e permissões no Experience Platform, consulte a documentação sobre configuração de permissões.

Para habilitar o CMK, o Azure Cofre da Chave deve ser configurado com as seguintes configurações:

Configurar o aplicativo CMK register-app

Após configurar o cofre de chaves, a próxima etapa é registrar o aplicativo CMK que será vinculado ao locatário Azure.

Introdução

Para exibir o painel Configurações de criptografia, selecione Criptografia no cabeçalho Administração da barra lateral de navegação esquerda.

O painel de configuração de Criptografia com Criptografia e o cartão Chaves Gerenciadas pelo Cliente foram realçados.

Selecione Configurar para abrir a exibição Chaves gerenciadas pelo cliente. Este espaço de trabalho contém todos os valores necessários para concluir as etapas descritas abaixo e executar a integração com seu Cofre de Chaves do Azure.

Copiar URL de autenticação copy-authentication-url

Para iniciar o processo de registro, copie a URL de autenticação de aplicativo da sua organização da exibição Configuração de chaves gerenciadas pelo cliente e cole-a no ambiente Azure Key Vault Crypto Service Encryption User. Detalhes sobre como atribuir uma função são fornecidos na próxima seção.

Selecione o ícone de cópia ( O ícone de cópia. ) pela URL de autenticação do aplicativo.

A exibição da Configuração de Chaves Gerenciadas pelo Cliente com a seção de URL de autenticação de Aplicativo realçada.

Copie e cole a URL de autenticação do aplicativo em um navegador para abrir uma caixa de diálogo de autenticação. Selecione Accept para adicionar a entidade de serviço do aplicativo CMK ao locatário Azure. A confirmação da autenticação o redireciona para a página de aterrissagem do Experience Cloud.

Uma caixa de diálogo de solicitação de permissão do Microsoft com Aceitar realçada.

IMPORTANT
Se você tiver várias assinaturas Microsoft Azure, poderá conectar sua instância do Platform ao cofre de chaves incorreto. Nessa situação, você deve trocar a seção common do nome da URL de autenticação do aplicativo pela ID do diretório CMK.
Copie a ID do diretório CMK da página Configurações do Portal, Diretórios e Assinaturas do aplicativo Microsoft Azure
A página Microsoft Azure configurações do Portal do aplicativo, Diretórios e Assinaturas com a ID do Diretório realçada.
Em seguida, cole-o na barra de endereços do navegador.
Uma página do navegador Google com a seção 'comum' da URL de autenticação de Aplicativo realçada.

Atribuir o aplicativo CMK a uma função assign-to-role

Após concluir o processo de autenticação, volte para o Cofre da Chave do Azure e selecione Access control na navegação à esquerda. Aqui, selecione Add seguido por Add role assignment.

O painel Microsoft Azure com Add e Add role assignment realçados.

A próxima tela solicita que você escolha uma função para esta atribuição. Selecione Key Vault Crypto Service Encryption User antes de selecionar Next para continuar.

NOTE
Se você tiver a camada Managed-HSM Key Vault, deverá selecionar a função de usuário Managed HSM Crypto Service Encryption User.

O painel Microsoft Azure com o Key Vault Crypto Service Encryption User realçado.

Na próxima tela, escolha Select members para abrir uma caixa de diálogo no painel direito. Use a barra de pesquisa para localizar a entidade de serviço para a aplicação CMK e selecione-a na lista. Quando terminar, selecione Save.

NOTE
Se você não conseguir encontrar seu aplicativo na lista, seu principal de serviço não foi aceito no locatário. Para garantir que você tenha os privilégios corretos, fale com o administrador ou representante do Azure.

Você pode verificar o aplicativo comparando a exibição ID do Aplicativo fornecida na configuração de Chaves Gerenciadas pelo Cliente com a Application ID fornecida na visão geral do aplicativo Microsoft Azure.

A exibição da Configuração de Chaves Gerenciadas pelo Cliente com a ID do Aplicativo realçada.

Todos os detalhes necessários para verificar as ferramentas do Azure estão incluídos na interface do usuário da plataforma. Esse nível de granularidade é fornecido quando muitos usuários desejam usar outras ferramentas do Azure para aprimorar sua capacidade de monitorar e registrar esses aplicativos no acesso ao cofre de chaves. Entender esses identificadores é essencial para essa finalidade e para ajudar os serviços da Adobe a acessar a chave.

Habilitar a configuração da chave de criptografia no Experience Platform send-to-adobe

Depois de instalar o aplicativo CMK em Azure, você pode enviar o identificador de chave de criptografia para o Adobe. Selecione Keys na navegação à esquerda, seguido pelo nome da chave que você deseja enviar.

O painel do Microsoft Azure com o objeto Keys e o nome da chave realçados.

Selecione a versão mais recente da chave e sua página de detalhes será exibida. Aqui, você pode configurar opcionalmente as operações permitidas para a chave.

IMPORTANT
As operações mínimas necessárias a serem permitidas para a chave são as permissões Wrap Key e Unwrap Key. Você pode incluir Encrypt, Decrypt, Sign e Verify conforme desejar.

O campo Identificador de Chave exibe o identificador de URI para a chave. Copie este valor de URI para usar na próxima etapa.

Os detalhes da Chave do painel do Microsoft Azure com as seções Permitted operations e copiar URL da chave destacadas.

Depois de obter o Key vault URI, retorne à exibição Configuração de chaves gerenciadas pelo cliente e insira um nome de configuração descritivo. Em seguida, adicione a Key Identifier retirada da página de detalhes da Chave do Azure ao Identificador da chave do cofre de chaves e selecione Salvar.

A exibição da Configuração de chaves gerenciadas pelo cliente com as seções Nome da configuração e Identificador de chave do cofre de chaves destacadas.

Você retornou ao painel de configurações de criptografia. O status da configuração Chaves gerenciadas pelo cliente é exibido como Processando.

O painel Configurações de criptografia com Processamento realçado no cartão Chaves gerenciadas pelo cliente.

Verificar o status da configuração check-status

Permita um tempo significativo para o processamento. Para verificar o status da configuração, retorne à exibição Chaves gerenciadas pelo cliente e role para baixo até o Status da configuração. A barra de progresso avançou para a etapa um de três e explica que o sistema está validando se a Platform tem acesso à chave e ao cofre de chaves.

Há quatro status possíveis da configuração do CMK. Elas são as seguintes:

  • Etapa 1: valida se a Platform tem a capacidade de acessar o cofre de chaves e chaves.
  • Etapa 2: o cofre de chaves e o nome da chave estão sendo adicionados a todos os armazenamentos de dados em sua organização.
  • Etapa 3: O cofre de chaves e o nome da chave foram adicionados com êxito aos armazenamentos de dados.
  • FAILED: ocorreu um problema, relacionado principalmente à chave, cofre de chaves ou configuração de aplicativo multilocatário.

Próximas etapas

Ao concluir as etapas acima, você ativou o CMK com êxito para sua organização. Os dados assimilados nos armazenamentos de dados principais agora serão criptografados e descriptografados usando a(s) chave(s) no Cofre da Chave do Azure.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5