DokumentationExperience PlatformÖversikt över Experience Platform

Konfigurera och konfigurera kundhanterade nycklar med API:t

Last update: Tue Nov 19 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Utvecklare

I det här dokumentet beskrivs hur du aktiverar funktionen för kundhanterade nycklar (CMK) i Adobe Experience Platform med API:t. Instruktioner om hur du slutför den här processen med användargränssnittet finns i UI CMK-inställningsdokumentet.

Förhandskrav

Om du vill visa och gå till avsnittet Encryption i Adobe Experience Platform måste du ha skapat en roll och tilldelat behörigheten Manage Customer Managed Key till den rollen. Alla användare som har behörigheten Manage Customer Managed Key kan aktivera CMK för sin organisation.

Mer information om hur du tilldelar roller och behörigheter i Experience Platform finns i Konfigurera behörigheter.

Om du vill aktivera CMK måste Azure nyckelvalvet konfigureras med följande inställningar:

Konfigurera CMK-appen register-app

När du har konfigurerat nyckelvalvet är nästa steg att registrera CMK-programmet som ska länka till din Azure-klient.

Komma igång

Om du registrerar CMK-appen måste du anropa API:er för plattformen. Mer information om hur du samlar in de autentiseringshuvuden som krävs för att ringa dessa anrop finns i autentiseringsguiden för plattforms-API.

Autentiseringsguiden innehåller anvisningar om hur du skapar ett eget unikt värde för begärandehuvudet x-api-key, men alla API-åtgärder i den här handboken använder det statiska värdet acp_provisioning i stället. Du måste dock fortfarande ange dina egna värden för {ACCESS_TOKEN} och {ORG_ID}.

I alla API-anrop som visas i den här handboken används platform.adobe.io som rotsökväg, som är standard för VA7-regionen. Om din organisation använder en annan region måste platform följas av ett bindestreck och regionkoden som tilldelats din organisation: nld2 för NLD2 eller aus5 för AUS5 (till exempel: platform-aus5.adobe.io). Om du inte känner till organisationens region kontaktar du systemadministratören.

Hämta en autentiserings-URL fetch-authentication-url

Om du vill starta registreringsprocessen skickar du en GET-förfrågan till slutpunkten för programregistreringen för att hämta den autentiserings-URL som krävs för din organisation.

Begäran

curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/byok/app-registration \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Svar

Ett lyckat svar returnerar en applicationRedirectUrl-egenskap som innehåller autentiserings-URL:en.

{
    "id": "byok",
    "name": "acpebae9422Caepcmkmultitenantapp",
    "applicationUri": "https://adobe.com/acpebae9422Caepcmkmultitenantapp",
    "applicationId": "e463a445-c6ac-4ca2-b36a-b5146fcf6a52",
    "applicationRedirectUrl": "https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=e463a445-c6ac-4ca2-b36a-b5146fcf6a52&redirect_uri=https://adobe.com/acpebae9422Caepcmkmultitenantapp&scope=user.read"
}

Kopiera och klistra in adressen applicationRedirectUrl i en webbläsare för att öppna en autentiseringsdialogruta. Välj Accept om du vill lägga till CMK-programtjänstens huvudnamn i din Azure-innehavare.

En dialogruta för Microsoft-behörighetsbegäran med Accept markerad.

Tilldela CMK-appen till en roll assign-to-role

När autentiseringsprocessen är slutförd går du tillbaka till Azure-nyckelvalvet och väljer Access control i den vänstra navigeringen. Här väljer du Add följt av Add role assignment.

Microsoft Azure-instrumentpanelen med Add och Add role assignment markerade.

På nästa skärm får du en uppmaning om att välja en roll för uppdraget. Välj Key Vault Crypto Service Encryption User innan du väljer Next för att fortsätta.

NOTE
Om du har nivån Managed-HSM Key Vault måste du välja användarrollen Managed HSM Crypto Service Encryption User.

Microsoft Azure-instrumentpanelen med Key Vault Crypto Service Encryption User markerad.

På nästa skärm väljer du Select members för att öppna en dialogruta i den högra listen. Använd sökfältet för att hitta tjänstens huvudnamn för CMK-programmet och markera det i listan. När du är klar väljer du Save.

NOTE
Om du inte kan hitta ditt program i listan har ditt huvudnamn inte godkänts i din klientorganisation. Om du vill vara säker på att du har rätt behörigheter kan du samarbeta med Azure-administratören eller -representanten.

Aktivera krypteringsnyckelkonfigurationen i Experience Platform send-to-adobe

När du har installerat CMK-appen på Azure kan du skicka krypteringsnyckelns identifierare till Adobe. Välj Keys i den vänstra navigeringen, följt av namnet på nyckeln som du vill skicka.

Microsoft Azure-instrumentpanelen med objektet Keys och nyckelnamnet markerat.

Välj den senaste versionen av nyckeln så visas informationssidan. Här kan du välja att konfigurera tillåtna åtgärder för nyckeln.

IMPORTANT
De åtgärder som minst krävs för nyckeln är behörigheterna Wrap Key och Unwrap Key. Du kan inkludera Encrypt, Decrypt, Sign och Verify om du vill.

Fältet Key Identifier visar URI-identifieraren för nyckeln. Kopiera det här URI-värdet för användning i nästa steg.

Nyckelinformation för Microsoft Azure-instrumentpanelen med avsnitten Permitted operations och kopieringsnyckel markerade.

När du har fått nyckelvalvs-URI:n kan du skicka den med en POST-begäran till CMK-konfigurationsslutpunkten.

NOTE
Endast nyckelvalvet och nyckelnamnet lagras med Adobe, inte nyckelversionen.

Begäran

En exempelbegäran om att skicka nyckelvalvs-URI till CMK-konfigurationsslutpunkten.
code language-shell 
curl -X POST \
  https://platform.adobe.io/data/infrastructure/manager/customer/config \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}' \
  -d '{
        "name": "Config1",
        "type": "BYOK_CONFIG",
        "imsOrgId": "{ORG_ID}",
        "configData": {
          "providerType": "AZURE_KEYVAULT",
          "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4"
        }
      }'
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2
Egenskap Beskrivning
name Ett namn för konfigurationen. Se till att du kommer ihåg det här värdet eftersom det krävs för att kontrollera konfigurationsstatus i ett senare steg. Värdet är skiftlägeskänsligt.
type Konfigurationstypen. Måste anges till BYOK_CONFIG.
imsOrgId Ditt organisations-ID. Detta ID måste vara samma värde som anges under rubriken x-gw-ims-org-id.
configData

Den här egenskapen innehåller följande information om konfigurationen:

  • providerType: Måste anges till AZURE_KEYVAULT.
  • keyVaultKeyIdentifier: Nyckelvalvs-URI som du kopierade tidigare.

Svar

Det slutförda svaret returnerar information om konfigurationsjobbet.
code language-json 
{
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "config": {
    "configData": {
      "keyVaultUri": "https://adobecmkexample.vault.azure.net",
      "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
      "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
      "keyName": "Config1",
      "providerType": "AZURE_KEYVAULT"
    },
    "name": "acpcf978863Aaepcmkmultitenantapp",
    "type": "BYOK_CONFIG",
    "imsOrgId": "{ORG_ID}",
    "status": "NEW"
  },
  "status": "CREATED"
}

Jobbet bör slutföras inom några minuter.

Verifiera konfigurationens status check-status

Om du vill kontrollera statusen för konfigurationsbegäran kan du göra en GET-förfrågan.

Begäran

Du måste lägga till name för konfigurationen som du vill kontrollera till sökvägen (config1 i exemplet nedan) och inkludera en configType-frågeparameter som är inställd på BYOK_CONFIG.

Ett exempel på en begäran om att kontrollera statusen för konfigurationsbegäran.
code language-shell 
curl -X GET \
  https://platform.adobe.io/data/infrastructure/manager/customer/config/config1?configType=BYOK_CONFIG \
  -H 'Authorization: Bearer {ACCESS_TOKEN}' \
  -H 'x-api-key: acp_provisioning' \
  -H 'x-gw-ims-org-id: {ORG_ID}'

Svar

Det slutförda svaret returnerar jobbets status.
code language-json 
{
  "name": "acpcf978863Aaepcmkmultitenantapp",
  "type": "BYOK_CONFIG",
  "status": "COMPLETED",
  "configData": {
    "keyVaultUri": "https://adobecmkexample.vault.azure.net",
    "keyVaultKeyIdentifier": "https://adobecmkexample.vault.azure.net/keys/adobeCMK-key/7c1d50lo28234cc895534c00d7eb4eb4",
    "keyVersion": "7c1d50lo28234cc895534c00d7eb4eb4",
    "keyName": "Config1",
    "providerType": "AZURE_KEYVAULT"
  },
  "imsOrgId": "{ORG_ID}",
  "subscriptionId": "cf978863-7325-47b1-8fd9-554b9fdb6c36",
  "id": "4df7886b-a122-4391-880b-47888d5c5b92",
  "rowType": "BYOK_KEY"
}

Attributet status kan ha ett av fyra värden med följande betydelse:

  1. RUNNING: Verifierar att plattformen har åtkomst till nyckel- och nyckelvalvet.
  2. UPDATE_EXISTING_RESOURCES: Nyckelvalvet och nyckelnamnet läggs till i datalagret över alla sandlådor i organisationen.
  3. COMPLETED: Nyckelvalvet och nyckelnamnet har lagts till i datalagret.
  4. FAILED: Ett problem har uppstått, huvudsakligen relaterat till nyckeln, nyckelvalvet eller konfigurationen av multi-tenant-appar.

Nästa steg

Genom att utföra ovanstående steg har du aktiverat CMK för din organisation. Data som är inkapslade i primära datalager krypteras och dekrypteras nu med nycklarna i Azure-nyckelvalvet. Mer information om datakryptering i Adobe Experience Platform finns i krypteringsdokumentationen.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5