文档 Experience Platform Experience Platform 概述

为客户管理的密钥配置AWS KMS

Last update: Sat Apr 18 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

创建对象：

开发人员
用户
管理员
领导

AVAILABILITY

本文档适用于在Amazon Web Services (AWS)上运行的Experience Platform的实施。在AWS上运行的Experience Platform当前仅对有限数量的客户可用。要了解有关支持的Experience Platform基础架构的更多信息，请参阅Experience Platform multi-cloud概述。

使用本指南，通过创建、管理和控制Amazon Web Services (AWS)的加密密钥，使用Adobe Experience Platform (KMS)密钥管理服务(KMS)保护您的数据。此集成简化了法规遵从性，通过自动化简化了操作，并且消除了维护您自己的关键管理基础架构的需要。

有关特定于Customer Journey Analytics的说明，请参阅Customer Journey Analytics CMK文档

IMPORTANT

默认情况下，Adobe Experience Platform使用系统管理的密钥加密静态数据。通过启用客户管理的密钥(CMK)，您可以完全控制数据安全。但是，此更改是不可逆的，一旦启用CMK，您就无法还原到系统管理的密钥。您有责任安全地管理您的密钥，以确保对数据的访问不会出现中断，并防止潜在的不可访问性。

使用AWS KMS通过Adobe Experience Platform的集成式加密密钥管理增强数据安全性。按照本指南创建和管理加密密钥，确保您的数据始终受到保护。

先决条件 prerequisites

在继续阅读本文档之前，您应该充分了解以下关键概念和功能：

AWS密钥管理服务(KMS)：了解AWS KMS的基础知识，包括如何创建、管理和轮换加密密钥。有关详细信息，请参阅KMS官方文档。
AWS中的身份和访问管理(IAM)策略： IAM是一项允许您安全管理对AWS服务和资源的访问权限的服务。使用IAM可以：
- 定义哪些用户、组和角色有权访问特定资源。
- 指定允许或拒绝用户执行的操作。
- 通过使用IAM策略分配权限来实施细粒度访问控制。
  有关详细信息，请参阅适用于AWS KMS的IAM策略官方文档。
Experience Platform中的数据安全：了解Experience Platform如何确保数据安全并与AWS KMS等外部服务集成以进行加密。 Experience Platform使用HTTPS TLS v1.2保护数据以便传输、云提供商静态加密、隔离存储以及可自定义的身份验证和加密选项。有关如何保持数据安全的更多信息，请参阅治理、隐私和安全概述或有关Experience Platform中数据加密的文档。
AWS管理控制台：一个中心中心，您可以从基于Web的应用程序访问和管理所有AWS服务。使用搜索栏快速查找工具、检查通知、管理您的帐户和账单，以及自定义您的设置。有关详细信息，请参阅官方的AWS管理控制台文档。

快速入门 get-started

本指南要求您已经拥有Amazon Web Services帐户的访问权限和管理控制台的访问权限。请按照以下步骤开始：

选择支持的区域 select-supported-region

AWS KMS在特定地区提供。确保您在支持KMS的区域中运行。您可以在AWS KMS端点和配额列表中查看受支持地区的完整列表。

确保您的AWS KMS加密密钥与Adobe Experience Platform实例位于同一区域，以保持对数据派驻要求的遵守，优化性能，并避免额外的跨区域成本。未对齐区域可能会导致数据不可访问和集成失败。

验证权限 verify-permissions

确保您拥有必要的AWS Identity and Access Management (IAM)权限，以便在KMS中创建、管理和使用加密密钥。要验证您的权限，请执行以下操作：

访问IAM策略模拟器。
选择您的用户帐户或角色。
模拟KMS操作，如kms:CreateKey或kms:Encrypt。

如果模拟返回错误或您不确定自己的权限，请联系AWS管理员以获取帮助。

检查您的AWS帐户配置

确认已允许您的AWS帐户使用AWS KMS服务。大多数帐户默认启用KMS访问权限，但您可以通过访问AWS管理控制台来查看帐户设置。有关详细信息，请参阅AWS Key Management Service开发人员指南。

导航到AWS KMS以开始设置键

要开始设置和管理加密密钥，请登录到您的AWS帐户，然后导航到AWS密钥管理服务(KMS)。从AWS Management Console中，从服务菜单中选择密钥管理服务(KMS)。

突出显示密钥管理服务的AWS Management Console的“搜索”下拉菜单。

创建新密钥 create-a-key

IMPORTANT

确保加密密钥的安全存储、访问和可用性。您负责管理密钥并防止对Experience Platform操作造成中断。

在Key Management Service (KMS)工作区中选择Create a key。

Create a key的密钥管理服务工作区突出显示。

配置密钥设置 configure-key

出现Configure Key工作流。默认情况下，密钥类型设置为Symmetric，密钥用法设置为Encrypt and Decrypt。在继续之前，请确保已选择这些选项。

突出显示了“对称”和“加密和解密”基本选项的“配置密钥”工作流的第一步。

展开 Advanced options 下拉菜单。建议您使用 KMS 选项，该选项允许AWS创建和管理密钥资料。默认情况下已选中 KMS 选项。

NOTE

如果您已经拥有现有的密钥，则可以导入外部密钥资料或使用AWS CloudHSM密钥库。这些选项不在本文档的范围之内。

接下来，选择Regionality设置，该设置指定键的区域范围。选择Single-Region key，然后选择 Next 以继续执行步骤2。

IMPORTANT

AWS对KMS密钥实施区域限制。此区域限制意味着密钥必须位于与您的Adobe帐户相同的区域中。 Adobe只能访问位于您帐户所在地区的KMS密钥。确保您选择的区域与Adobe单租户帐户的区域相匹配。

Configure key工作流的第一步，其中突出显示AWS区域、KMS和单区域键高级选项。

为密钥添加标签和标记 add-labels-and-tags-to-key

此时将显示工作流的第二个Add labels阶段。在此，您可以配置Alias和Tags字段以帮助您从AWS KMS控制台管理和查找加密密钥。

在 Alias 输入字段中输入键的描述性标签。别名充当用户友好标识符，以使用AWS KMS控制台中的搜索栏快速找到密钥。为避免混淆，请选择一个可反映密钥目的的有意义的名称，如“Adobe-Experience-Platform-Key”或“Customer-Encryption-Key”。如果键别名不足以描述其用途，您还可以包含键的说明。

最后，通过在Tags部分中添加键值对来为键分配元数据。此步骤是可选的，但您应该添加标记以对AWS资源进行分类和筛选，从而更便于管理。例如，如果贵组织使用多个Adobe相关资源，则可以使用“Adobe”或“Experience-Platform”标记它们。通过这个额外的步骤，可以轻松地在AWS Management Console中搜索和管理所有关联的资源。选择 Add tag 开始该进程。

如果您对设置感到满意，请选择 Next 以继续工作流。

Configure key工作流的第二步，突出显示“别名”、“描述”、“标记”和“下一步”。

定义关键管理权限 define-key-admins

此时会显示密钥创建工作流的步骤3。为确保访问安全和受控，您可以选择哪些IAM用户和角色可以管理密钥。此阶段有两个选项，Key administrators和Key deletion。在 Key administrators 部分中，选中您要授予此密钥的管理员权限的任何用户或角色名称旁边的一个或多个复选框。

NOTE

您无法在此工作流阶段创建管理员。

在 Key deletion 部分中，启用该复选框以允许密钥管理员删除此密钥。如果不选中该复选框，则不允许管理用户执行该操作。

选择 Next 以继续工作流。

工作流的“定义关键管理权限”阶段，带有复选框和下一个突出显示。