Kundhanterade nycklar i Adobe Experience Platform
Data som lagras på Adobe Experience Platform krypteras i vila med hjälp av systemnivånycklar. Om du använder ett program som är byggt på Experience Platform kan du välja att använda dina egna krypteringsnycklar istället, vilket ger dig större kontroll över datasäkerheten.
Det här dokumentet innehåller en översikt på hög nivå över processen för att aktivera funktionen för kundhanterade nycklar (CMK) i Experience Platform i hela Azure och AWS, tillsammans med den information som krävs för att slutföra dessa steg.
Förhandskrav
Om du vill aktivera CMK måste plattformens värdmiljö (Azure eller AWS) uppfylla specifika konfigurationskrav:
Allmänna krav
Om du vill visa och komma åt avsnittet Encryption i Adobe Experience Platform måste du ha skapat en roll och tilldelat behörigheten Manage Customer Managed Key till den rollen. Alla användare med behörigheten Manage Customer Managed Key kan aktivera CMK för sin organisation.
Mer information om hur du tilldelar roller och behörigheter i Experience Platform finns i Konfigurera behörigheter.
Azure-specifika krav
För Azure-värdbaserade implementeringar konfigurerar du Azure-nyckelvalvet med följande inställningar:
AWS-specifika förutsättningar
För implementeringar som hanteras av AWS konfigurerar du din AWS-miljö enligt följande:
- Kontrollera att du har behörighet att hantera krypteringsnycklar med hjälp av AWS Identity and Access Management (IAM). Mer information finns i IAM-principer för AWS KMS.
- Konfigurera AWS KMS med stöd för CMK. Läs AWS KMS-krypteringsguiden.
Processsammanfattning process-summary
Customer Managed Keys (CMK) erbjuds genom Adobe Healthcare Shield och Privacy and Security Shield. På Azure stöds CMK för både hälso- och sjukvårdssköld och sköld för skydd av privatlivet och säkerheten. På AWS stöds CMK endast för skölden för skydd av privatlivet och säkerheten och är inte tillgängligt för hälso- och sjukvårdsskölden. När organisationen har köpt en licens för något av dessa alternativ kan du påbörja engångskonfigurationsprocessen för att aktivera CMK.
Processen är följande:
För Azure azure-process-summary
- Konfigurera ett Azure nyckelvalv baserat på din organisations principer och generera sedan en krypteringsnyckel som du kan dela med Adobe.
- Konfigurera CMK-appen med din Azure-klientorganisation genom antingen API-anrop eller användargränssnittet.
- Skicka ditt krypteringsnyckel-ID till Adobe och starta aktiveringsprocessen för funktionen, antingen i användargränssnittet eller med ett API-anrop.
- Kontrollera konfigurationsstatusen för att verifiera om CMK har aktiverats, antingen i användargränssnitteteller med ett API-anrop.
När installationsprocessen är klar för Azure-värdbaserade Experience Platform-instanser krypteras alla data som är inskrivna i Experience Platform över alla sandlådor med hjälp av nyckelkonfigurationen för Azure. Om du vill använda CMK använder du Microsoft Azure-funktioner som kan ingå i deras allmänna förhandsvisningsprogram.
För AWS aws-process-summary
- Konfigurera AWS KMS genom att konfigurera en krypteringsnyckel som ska delas med Adobe.
- Följ de AWS-specifika instruktionerna i installationsguiden för användargränssnittet.
- Verifiera konfigurationen för att bekräfta att Experience Platform-data är krypterade med AWS värdnyckel.
När installationsprocessen är klar för Experience Platform-instanser som ligger på AWS krypteras alla data som är inskrivna i Experience Platform över alla sandlådor med hjälp av konfigurationen för AWS Key Management Service (KMS). Om du vill använda CMK på AWS använder du AWS nyckelhanteringstjänst för att skapa och hantera dina krypteringsnycklar i enlighet med organisationens säkerhetskrav.
Konsekvenser av återkallande av nyckelåtkomst revoke-access
Om du återkallar eller inaktiverar åtkomsten till Key Vault-, key- eller CMK-appen i Azure eller krypteringsnyckeln i AWS kan det leda till allvarliga störningar, som bland annat kan leda till att dina Experience Platform-åtgärder inte fungerar som de ska. När tangenterna har inaktiverats kan data i Experience Platform bli oåtkomliga, och alla åtgärder längre fram i kedjan som är beroende av dessa data kommer inte att fungera. Det är viktigt att förstå effekterna i efterföljande led till fullo innan du gör några ändringar i dina nyckelkonfigurationer.
Om du vill återkalla Experience Platform-åtkomst till dina data i Azure tar du bort den användarroll som är associerad med programmet från nyckelvalvet. För AWS kan du inaktivera nyckeln eller uppdatera policyn. Detaljerade instruktioner om AWS-processen finns i avsnittet om nyckelspärr.
Spridningstidslinjer propagation-timelines
När nyckelåtkomsten har återkallats från nyckelvalvet Azure kommer ändringarna att spridas enligt följande:
Profilkontrollpanelen fortsätter till exempel att visa data från sin cache i upp till sju dagar innan data förfaller och uppdateras. På samma sätt tar det lika lång tid att återaktivera åtkomst till programmet för att återställa datatillgängligheten i alla dessa butiker.
Nästa steg
Så här startar du processen:
- För Azure: Börja med att konfigurera ett Azure nyckelvalv och generera en krypteringsnyckel som ska delas med Adobe.
- För AWS: Konfigurera AWS KMS och kontrollera att IAM- och KMS-konfigurationerna är korrekta innan du fortsätter till installationsguiderna för användargränssnittet eller API.