Adobe Experience Platform中的客户管理的密钥
存储在Adobe Experience Platform上的数据使用系统级别密钥静态加密。 如果您使用的是基于Platform构建的应用程序,则可以选择使用自己的加密密钥,从而更好地控制数据安全。
本文档提供了在Platform中通过Azure和AWS启用客户管理的密钥(CMK)功能的过程的高级概述,以及完成这些步骤所需的先决条件信息。
先决条件
要启用CMK,您平台的托管环境(Azure或AWS)必须满足特定的配置要求:
一般先决条件
要查看和访问Adobe Experience Platform中的加密部分,您必须已创建一个角色,并为其分配了管理客户管理的密钥权限。 任何具有管理客户管理的密钥权限的用户都可以为其组织启用CMK。
有关在Experience Platform中分配角色和权限的详细信息,请参阅配置权限文档。
特定于Azure的先决条件
对于Azure托管的实施,请使用以下设置配置您的Azure密钥保管库:
特定于AWS的先决条件
对于AWS托管的实施,请按照以下方式配置您的AWS环境:
- 确保您有权使用AWS Identity and Access Management (IAM)管理加密密钥。 有关详细信息,请参阅适用于AWS KMS的IAM策略。
- 设置支持CMK的AWS KMS。 请参阅AWS KMS数据加密指南。
流程摘要 process-summary
客户管理的密钥(CMK)可通过Adobe的Healthcare Shield和Privacy and Security Shield产品获得。 在Azure上,Healthcare Shield和Privacy and Security Shield都支持CMK。 在AWS上,CMK仅受Privacy and Security Shield支持,不适用于Healthcare Shield。 贵组织在购买其中一种产品的许可证后,即可开始一次性设置过程以启用CMK。
该过程如下:
对于Azure azure-process-summary
- 根据您组织的策略配置 Azure 密钥保管库,然后生成要与Adobe共享的加密密钥。
- 通过API调用或UI与您的Azure租户设置CMK应用。
- 将您的加密密钥ID发送到Adobe,并通过UI🔗中的或通过API调用启动该功能的启用过程。
- 检查配置的状态以验证UI🔗中的或通过API调用是否启用了CMK。
在Azure托管的Platform实例的设置过程完成后,所有沙盒上载到Platform的所有数据将使用您的Azure密钥设置进行加密。 若要使用CMK,您将利用可能属于其公共预览计划的Microsoft Azure功能。
适用于AWS的 aws-process-summary
- 通过配置要与Adobe共享的加密密钥来设置AWS KMS。
- 按照UI设置指南中特定于AWS的说明进行操作。
- 验证设置,以确认已使用AWS托管的密钥对Platform数据进行加密。
一旦完成AWS托管的Platform实例的设置过程,所有沙盒上载到Platform的所有数据都将使用您的AWS密钥管理服务(KMS)配置进行加密。 要在AWS上使用CMK,您将使用AWS密钥管理服务根据贵组织的安全要求创建和管理加密密钥。
撤销关键访问权限的影响 revoke-access
撤销或禁用对Azure中的密钥保管库、密钥或CMK应用程序或AWS中的加密密钥的访问权限可能会导致重大中断,包括对平台运营的重大更改。 禁用键后,Platform中的数据可能会变得不可访问,并且任何依赖此数据的下游操作都将停止运行。 在对关键配置进行任何更改之前,充分了解下游影响至关重要。
要撤销平台对Azure中数据的访问权限,请从密钥保管库中删除与应用程序关联的用户角色。 对于AWS,您可以禁用键或更新策略语句。 有关AWS进程的详细说明,请参阅密钥吊销部分。
传播时间线 propagation-timelines
在从Azure密钥保管库撤消密钥访问权限后,更改将按如下方式传播:
例如,配置文件仪表板将继续显示其缓存中的数据,最多显示七天,之后数据将过期并刷新。 同样,重新启用对应用程序的访问需要相同的时间来恢复这些存储中的数据可用性。
后续步骤
要开始此过程,请执行以下操作:
- 对于Azure:首先由配置 Azure 密钥保管库和生成要与Adobe共享的加密密钥开始。
- 对于AWS: 在继续阅读UI或API设置指南之前,请设置AWS KMS并确保正确的IAM和KMS配置。