DokumentationAEMAnvändarhandbok

Konfigurera kundhanterade nycklar för AEM as a Cloud Service customer-managed-keys-for-aem-as-a-cloud-service

Senast uppdaterad: 5 juni 2026
  • Gäller:
  • Experience Manager as a Cloud Service

Skapat för:

  • Admin

AEM as a Cloud Service lagrar för närvarande kunddata i Azure Blob Storage och MongoDB med krypteringsnycklar som hanteras av leverantörer som standard för att skydda data. Även om den här konfigurationen uppfyller säkerhetskraven för många organisationer, söker företag i reglerade branscher eller de som behöver förbättrad datasäkerhet större kontroll över krypteringsrutinerna. För organisationer som prioriterar datasäkerhet, efterlevnad och möjlighet att hantera sina krypteringsnycklar erbjuder CMK-lösningen (Customer-Managed Keys) en viktig förbättring.

NOTE
Innan du konfigurerar Azure Key Vault måste du först aktivera CMK för ditt Cloud Service-program i Cloud Manager. CMK är aktiverat på fliken Säkerhet när ett produktionsprogram skapas eller när ett befintligt program redigeras.
Se Skapa produktionsprogram eller Redigera program.

Syftet med lösningen the-problem-being-solved

Leverantörshanterade nycklar kan skapa problem för företag som behöver ytterligare sekretess och integritet. Utan kontroll över nyckelhanteringen kan organisationer möta utmaningar när det gäller att uppfylla regelkrav, implementera anpassade säkerhetsregler och säkerställa fullständig datasäkerhet.

Införandet av kundhanterade nycklar (CMK) löser dessa problem genom att ge AEM-kunder full kontroll över deras krypteringsnycklar. Genom att autentisera via Microsoft Entra ID (tidigare Azure Active Directory) ansluter AEM CS säkert till kundens Azure Key Vault så att man kan hantera livscykeln för krypteringsnycklarna, inklusive nyckelgenerering, rotation och återkallning.

CMK har flera fördelar:

  • Hantera data- och programkryptering: Öka säkerheten med direkt styrning av ditt AEM-program och kryptografiska nycklar.
  • Förbättra sekretess och integritet: Minska sannolikheten för oavsiktlig åtkomst och exponering av känsliga eller egna data med fullständig krypteringshantering.
  • Stöd för Azure Key Vault: Användning av Azure Key Vault möjliggör nyckellagring, bearbetning av hemliga operationer och utförande av nyckelrotationer.

Genom att använda CMK kan kunderna få bättre kontroll över datasäkerhet och krypteringsrutiner, öka säkerheten och minska riskerna samtidigt som man behåller skalbarheten och flexibiliteten i AEM CS.

Med AEM as a Cloud Service kan du använda dina egna krypteringsnycklar för att kryptera vilande data. Den här guiden innehåller steg för hur du konfigurerar en kundhanterad nyckel (CMK) i Azure Key Vault för AEM as a Cloud Service.

WARNING
När du har konfigurerat CMK kan du inte återgå till systemhanterade nycklar. Du ansvarar för att hantera dina nycklar på ett säkert sätt och ge åtkomst till dina Key Vault-, Key- och CMK-appar i Azure för att förhindra att dataåtkomsten går förlorad.

Den här guiden innehåller följande steg för att skapa och konfigurera den nödvändiga infrastrukturen:

  1. Konfigurera din miljö
  2. Hämta ett program-ID från Adobe
  3. Skapa en ny resursgrupp
  4. Skapa ett nyckelvalv
  5. Ge Adobe åtkomst till nyckelvalvet
  6. Skapa en krypteringsnyckel

Du måste dela nyckelvalvs-URL:en, krypteringsnyckelns namn och information om nyckelvalvet med Adobe.

Konfigurera din miljö setup-your-environment

Azure Command Line Interface (CLI) är det enda kravet för den här guiden. Om du inte redan har Azure CLI installerat följer du de officiella installationsanvisningarna här.

Logga in på CLI med az login innan du fortsätter med resten av guiden.

NOTE
Även om den här handboken använder Azure CLI, går det att utföra samma åtgärder via Azure Console. Om du föredrar att använda Azure-konsolen använder du kommandona nedan som referens.

Starta CMK-konfigurationsprocessen för AEM as a Cloud Service request-cmk-for-aem-as-a-cloud-service

Du måste begära att kundhanterade nycklar (CMK) konfigureras för din AEM as a Cloud Service-miljö via användargränssnittet. Det gör du genom att navigera till AEM hemsäkerhetsgränssnitt under avsnittet Kundhanterade nycklar.
Du kan sedan starta introduktionsprocessen genom att klicka på knappen Starta introduktion .

Starta introduktionen av en webbplats med CMK-gränssnittet

Hämta ett program-ID från Adobe obtain-an-application-id-from-adobe

När introduktionsprocessen har startats tillhandahåller Adobe ett Entra-program-ID. Detta program-ID är nödvändigt för resten av handboken och skapar ett huvudnamn som gör att Adobe kan komma åt ditt nyckelvalv. Om du inte redan har ett program-ID väntar du tills Adobe tillhandahåller det.

Begäran bearbetas. Vänta tills Adobe har skickat Entra-program-ID ​

När begäran är klar visas program-ID:t i CMK-användargränssnittet.

Entras program-ID tillhandahålls av Adobe

Skapa en ny resursgrupp create-a-new-resource-group

Skapa en ny resursgrupp på valfri plats.

# Choose a location and a name for the resource group.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Create the resource group.
az group create --location $location --resource-group $resourceGroup

Om du redan har en resursgrupp använder du den i stället. I resten av den här guiden identifieras platsen för resursgruppen och dess namn med $location respektive $resourceGroup.

Skapa ett nyckelvalv create-a-key-vault

Skapa ett nyckelvalv som innehåller din krypteringsnyckel. Töm skydd måste vara aktiverat för nyckelvalvet. Töm skydd krävs för kryptering av vilande data från andra Azure-tjänster. Åtkomst till offentliga nätverk måste aktiveras för att säkerställa att Adobes tjänster kan komma åt nyckelvalvet.

IMPORTANT
Om du vill inaktivera offentlig nätverksåtkomst för nyckelvalvet måste du utföra åtgärder som skapande av nycklar eller rotation från en miljö med nätverksåtkomst till nyckelvalvet. En virtuell dator som har åtkomst till nyckelvalvet.
# Reuse this information from the previous step.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Choose a name for the key vault.
$keyVaultName="<KEY VAULT NAME>"

# Create the key vault.
az keyvault create `
  --location $location `
  --resource-group $resourceGroup `
  --name $keyVaultName `
  --default-action=Allow `
  --enable-purge-protection `
  --enable-rbac-authorization `
  --public-network-access Enabled

Ge Adobe åtkomst till nyckelvalvet grant-adobe-access-to-the-key-vault

I det här steget ger du Adobe åtkomst till ditt nyckelvalv via ett Entra-program. Adobe borde ha tillhandahållit ID:t för Entra-programmet.

Först måste du skapa ett huvudnamn för tjänsten som är kopplat till Entra-programmet och tilldela det rollerna Key Vault Reader och Key Vault Crypto User. Rollerna är begränsade till nyckelvalvet som skapas i den här guiden.

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# The application ID is provided by Adobe.
$appId="<APPLICATION ID>"

# Retrieve the ID of the key vault.
$keyVaultId=(az keyvault show --resource-group $resourceGroup --name $keyVaultName --query id --output tsv)

# Create a new service principal.
$servicePrincipalId=(az ad sp create --id $appId --query id --out tsv)

# Assign the roles to the service principal.
az role assignment create --assignee $servicePrincipalId --role "Key Vault Reader" --scope $keyVaultId
az role assignment create --assignee $servicePrincipalId --role "Key Vault Crypto User" --scope $keyVaultId

Skapa en krypteringsnyckel create-an-encryption-key

Slutligen kan du skapa en krypteringsnyckel i nyckelvalvet. Du behöver rollen Nyckelvalvkryptograf för att slutföra det här steget. Kontakta systemadministratören om den inloggade användaren inte har den här rollen om du vill att rollen ska tilldelas dig. Du kan även be en person som redan har den rollen att slutföra det här steget åt dig.

Nätverksåtkomst till nyckelvalvet krävs för att skapa krypteringsnyckeln. Verifiera först att du har åtkomst till nyckelvalvet och fortsätt med att skapa nyckeln:

# Reuse this information from the previous steps.
$keyVaultName="<KEY VAULT NAME>"

# Choose a name for your key.
$keyName="<KEY NAME>"

# Create the key.
az keyvault key create --vault-name $keyVaultName --name $keyName

Dela viktig valvinformation share-the-key-vault-information

Nu är konfigurationen klar. Dela den information som krävs via CMK-gränssnittet, som startar miljökonfigurationsprocessen.

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# Retrieve the URL of your key vault.
$keyVaultUri=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.vaultUri `
    --output tsv)

# In addition we would need the tenantId and the subscriptionId in order to setup the connection.
$tenantId=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.tenantId `
    --output tsv)
$subscriptionId="<Subscription ID>"

Ange den här informationen i CMK-användargränssnittet:
Fyll i informationen i gränssnittet

Konsekvenser av återkallande av nyckelåtkomst implications-of-revoking-key-access

Om du återkallar eller inaktiverar åtkomsten till Key Vault-, key- eller CMK-appen kan det leda till allvarliga driftavbrott i din AEM as a Cloud Service-miljö. När dessa tangenter har inaktiverats blir data i AEM as a Cloud Service oåtkomliga, och alla åtgärder längre fram i kedjan som är beroende av dessa data slutar att fungera. Det är viktigt att förstå de potentiella effekterna innan du gör några ändringar i dina nyckelkonfigurationer.

Om du bestämmer dig för att återkalla AEM as a Cloud Service åtkomst till dina data kan du göra det genom att ta bort den användarroll som är kopplad till programmet från nyckelvalvet i Azure.

Nästa steg next-steps

När du har angett nödvändig information i CMK-användargränssnittet startar Adobe konfigurationsprocessen för din AEM as a Cloud Service-miljö. Den här processen kräver tid och du meddelas när den är klar.

Vänta tills Adobe har konfigurerat miljön.

Slutför CMK-installationen complete-the-cmk-setup

När konfigurationsprocessen är klar kan du se status för CMK-inställningen i användargränssnittet. Du kan också se nyckelvalvet och krypteringsnyckeln.
Processen i har slutförts

Frågor och support questions-and-support

Kontakta Adobe om du har frågor, frågor eller behöver hjälp med konfigurationen av kundhanterade nycklar för AEM as a Cloud Service. Adobe Support ger svar på frågor du har.

recommendation-more-help
experience-manager-cloud-service-help-main-toc