使用Platform UI设置和配置客户管理的密钥
本文档介绍了使用UI在Platform中启用客户管理的密钥(CMK)功能的过程。 有关如何使用API完成此过程的说明,请参阅API CMK设置文档。
先决条件
要查看和访问Adobe Experience Platform中的加密部分,您必须已创建一个角色,并为其分配了管理客户管理的密钥权限。 任何具有管理客户管理的密钥权限的用户都可以为其组织启用CMK。
有关在Experience Platform中分配角色和权限的详细信息,请参阅配置权限文档。
若要启用CMK,必须使用以下设置配置您的Azure 密钥保管库:
设置CMK应用程序 register-app
配置密钥保管库后,下一步是注册将链接到Azure租户的CMK应用程序。
快速入门
要查看加密配置仪表板,请在左侧导航侧边栏的管理标题下选择 加密。
选择 配置 以打开客户托管密钥配置视图。 此工作区包含完成下述步骤并执行与Azure Key保管库集成所需的所有值。
复制身份验证URL copy-authentication-url
要开始注册过程,请从客户托管密钥配置视图中复制您组织的应用程序身份验证URL,并将其粘贴到您的Azure环境 Key Vault Crypto Service Encryption User 中。 下一节提供了有关如何分配角色的详细信息。
选择复制图标(
将应用程序身份验证URL复制并粘贴到浏览器中以打开身份验证对话框。 选择 Accept 以将CMK应用服务主体添加到您的Azure租户。 确认身份验证会将您重定向到Experience Cloud登录页面。
common部分交换为CMK目录ID。从Microsoft Azure应用程序的门户设置、目录和订阅页面复制CMK目录ID
接下来,将其粘贴到浏览器地址栏中。
将CMK应用程序分配给角色 assign-to-role
完成身份验证过程后,导航回您的Azure密钥库,并在左侧导航中选择 Access control。 从此处依次选择 Add 和 Add role assignment。
下一个屏幕提示您为此分配选择一个角色。 选择 Key Vault Crypto Service Encryption User 再选择 Next 以继续。
在下一个屏幕上,选择 Select members 以在右边栏中打开一个对话框。 使用搜索栏查找CMK应用程序的服务主体,并从列表中选择它。 完成后,选择 Save。
您可以通过将客户托管密钥配置视图上提供的应用程序ID与Microsoft Azure应用程序概述上提供的Application ID进行比较,来验证应用程序。
验证Azure工具所需的所有详细信息都包含在Platform UI中。 提供了此级别的粒度,因为许多用户希望使用其他Azure工具来增强其监视和记录这些应用程序对其密钥保管库的访问的能力。 了解这些标识符对于实现此目标以及帮助Adobe服务访问密钥至关重要。
在Experience Platform上启用加密密钥配置 send-to-adobe
在Azure上安装CMK应用后,可以将加密密钥标识符发送到Adobe。 在左侧导航中选择 Keys,然后选择要发送的密钥的名称。
选择键的最新版本,此时将显示其详细信息页面。 在此处,您可以选择为密钥配置允许的操作。
密钥标识符 字段显示密钥的URI标识符。 复制此URI值以供在下一步中使用。
获得Key vault URI后,请返回客户托管密钥配置视图,并输入描述性 配置名称。 接下来,将从Azure密钥详细信息页面获取的Key Identifier添加到 密钥保管库密钥标识符 中,并选择 保存。
您返回到加密配置仪表板。 客户托管密钥配置的状态显示为正在处理。
验证配置的状态 check-status
留出大量的处理时间。 要检查配置状态,请返回客户托管密钥配置视图,然后向下滚动到配置状态。 进度条已前进到第三步的第一步,并说明了系统正在验证Platform是否有权访问密钥和密钥保管库。
CMK配置有四种潜在状态。 具体如下:
- 步骤1:验证平台是否能够访问密钥和密钥保管库。
- 步骤2:正在将密钥保管库和密钥名称添加到组织中的所有数据存储中。
- 步骤3:已成功将密钥保管库和密钥名称添加到数据存储。
FAILED:出现问题,主要与密钥、密钥保管库或多租户应用设置有关。
后续步骤
通过完成上述步骤,您已成功为组织启用CMK。 现在,将使用Azure密钥保管库中的密钥对摄取到主数据存储中的数据加密和解密。