文件AEM使用手冊

為AEM as a Cloud Service設定客戶自控金鑰 customer-managed-keys-for-aem-as-a-cloud-service

最後更新: 2026年6月5日
  • 適用對象:
  • Experience Manager as a Cloud Service

建立對象:

  • Admin

AEM as a Cloud Service 目前將客戶資料儲存在 Azure Blob 儲存空間和 MongoDB 中,可依預設利用提供者管理的加密金鑰來保護資料。 雖然此設定符合許多組織的安全需求,但受規管產業的企業或需要增強資料安全性的企業仍會尋求對其加密實務的更大控制。 對於優先考慮資料安全性、合規性和管理加密金鑰能力的組織來說,客戶自控金鑰 (CMK) 解決方案可提供重要的增強功能。

NOTE
在設定Azure Key Vault之前,您必須先在Cloud Manager中為Cloud Service程式啟用CMK。 在生產程式建立期間或編輯現有程式時,安全性​索引標籤上會啟用CMK。
請參閱建立生產計畫編輯計畫

此解決方案的用途 the-problem-being-solved

提供者管理的金鑰可能會讓需要額外隱私權和完整性的企業陷入困境。 如果無法控制金鑰管理,組織會在滿足合規性需求、實施自訂安全性原則,以及確保完整資料安全性方面面臨挑戰。

採用客戶自控金鑰 (CMK) 可讓 AEM 客戶完全控制其加密金鑰,進而解決了這些問題。 透過Microsoft Entra ID (前身為Azure Active Directory)進行驗證,AEM CS可安全地連線至客戶的Azure Key Vault,讓他們管理加密金鑰的生命週期,包括金鑰建立、輪換和撤銷。

CMK 提供多項優點:

  • 管理資料與應用程式加密:​藉由直接管理AEM應用程式與資料密碼編譯金鑰,提高安全性。
  • 改善機密性和完整性:​透過完整的加密管理,減少不小心存取和洩露機密或專有資料的可能性。
  • Azure Key Vault支援:​使用Azure Key Vault可儲存金鑰、處理機密作業及執行金鑰輪換。

透過採用CMK,客戶可加強對資料安全性和加密實務的控制,增強安全性並減輕風險,同時維持AEM CS的擴充性和彈性。

AEM as a Cloud Service可讓您使用自己的加密金鑰來加密閒置的資料。 本指南提供在AEM as a Cloud Service的Azure Key Vault中設定客戶管理金鑰(CMK)的步驟。

WARNING
在設定 CMK 後,您就無法恢復為系統管理的金鑰。 您負責安全管理您的金鑰,並且要提供在 Azure 中對 Key Vault、金鑰和 CMK 應用程式的存取權,以防止遺失您的資料存取權。

本指南提供建立和設定所需基礎結構的下列步驟:

  1. 設定您的環境
  2. 向 Adob​​e 取得應用程式 ID
  3. 建立新資源群組
  4. 建立金鑰保存庫
  5. 授予 Adobe 存取金鑰保存庫的權限
  6. 建立加密金鑰

您需要與Adobe共用金鑰儲存庫URL、加密金鑰名稱以及金鑰儲存庫的相關資訊。

設定您的環境 setup-your-environment

Azure 命令列介面 (CLI) 是使用本指南的唯一需求。 如果您尚未安裝 Azure CLI,請依此處的正式安裝說明來進行。

在繼續本指南的其餘部分之前,請使用az login登入您的CLI。

NOTE
雖然本指南使用 Azure CLI,但您可以透過 Azure 控制台執行相同的操作。 如果您希望使用 Azure 控制台,請使用下列命令作為參考。

開始進行 AEM as a Cloud Service 的 CMK 設定流程 request-cmk-for-aem-as-a-cloud-service

您需要透過UI為您的AEM as a Cloud Service環境請求客戶自控金鑰(CMK)設定。若要這麼做,請導覽至​ 客戶自控金鑰 ​區段下的AEM首頁安全性UI。
接著,您可以按一下​ 開始上線 ​按鈕,開始上線程式。

透過 CMK 使用者介面開始將網站上線

向 Adobe 取得應用程式 ID obtain-an-application-id-from-adobe

開始入門流程後,Adobe會提供Entra應用程式ID。 此應用程式ID是指南其他部分所必需的,並會建立可讓Adobe存取您的金鑰儲存庫的服務主體。 如果您還沒有應用程式ID,請等到Adobe提供。

請求正在處理中,請等待 Adobe 提供 Entra 應用程式 ID

請求完成後,您會在CMK UI中看到應用程式ID。

由 Adobe 提供 Entra 應用程式 ID

建立新資源群組 create-a-new-resource-group

在您選擇的位置建立新的資源群組。

# Choose a location and a name for the resource group.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Create the resource group.
az group create --location $location --resource-group $resourceGroup

如果您已經有資源群組,請改用它。 在本指南的其他部分中,資源群組的位置及其名稱會個別以 $location$resourceGroup標識。

建立金鑰保存庫 create-a-key-vault

建立金鑰儲存庫以包含您的加密金鑰。 金鑰保存庫必須啟用虛刪除保護功能。 對於要加密來自其他 Azure 服務的靜態資料一定要使用虛刪除保護。 必須啟用公共網路存取權,藉以確保 Adobe 服務能夠存取金鑰保存庫。

IMPORTANT
若要停用金鑰儲存庫的公用網路存取,必須從具有金鑰儲存庫的網路存取權的環境中執行金鑰建立或輪換等作業。 例如,可以存取金鑰儲存庫的VM。
# Reuse this information from the previous step.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"

# Choose a name for the key vault.
$keyVaultName="<KEY VAULT NAME>"

# Create the key vault.
az keyvault create `
  --location $location `
  --resource-group $resourceGroup `
  --name $keyVaultName `
  --default-action=Allow `
  --enable-purge-protection `
  --enable-rbac-authorization `
  --public-network-access Enabled

授予 Adobe 存取金鑰保存庫的權限 grant-adobe-access-to-the-key-vault

在此步驟中,您會允許Adobe透過Entra應用程式存取您的金鑰儲存庫。 Adobe應已提供Entra應用程式的ID。

首先,您必須建立附加至Entra應用程式的服務主體,並為其指派​ 金鑰儲存庫Reader ​和​ 金鑰儲存庫加密使用者 ​角色。 這些角色僅限於本指南中建立的金鑰保存庫。

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# The application ID is provided by Adobe.
$appId="<APPLICATION ID>"

# Retrieve the ID of the key vault.
$keyVaultId=(az keyvault show --resource-group $resourceGroup --name $keyVaultName --query id --output tsv)

# Create a new service principal.
$servicePrincipalId=(az ad sp create --id $appId --query id --out tsv)

# Assign the roles to the service principal.
az role assignment create --assignee $servicePrincipalId --role "Key Vault Reader" --scope $keyVaultId
az role assignment create --assignee $servicePrincipalId --role "Key Vault Crypto User" --scope $keyVaultId

建立加密金鑰 create-an-encryption-key

最後,您可以在金鑰保存庫中建立加密金鑰。 您需要​ 金鑰儲存庫加密管理員 ​角色才能完成此步驟。 若要將此角色授予您,如果登入的使用者沒有此角色,請聯絡您的系統管理員。 或者,請已有該角色的人為您完成此步驟。

若要建立加密金鑰,則需要有金鑰保存庫的網路存取權。 首先驗證您是否可以存取金鑰保存庫並繼續建立金鑰:

# Reuse this information from the previous steps.
$keyVaultName="<KEY VAULT NAME>"

# Choose a name for your key.
$keyName="<KEY NAME>"

# Create the key.
az keyvault key create --vault-name $keyVaultName --name $keyName

共用金鑰儲存庫資訊 share-the-key-vault-information

此時,設定完成。 透過CMK UI共用所需的資訊,這會啟動環境設定程式。

# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"

# Retrieve the URL of your key vault.
$keyVaultUri=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.vaultUri `
    --output tsv)

# In addition we would need the tenantId and the subscriptionId in order to setup the connection.
$tenantId=(az keyvault show --name $keyVaultName `
    --resource-group $resourceGroup `
    --query properties.tenantId `
    --output tsv)
$subscriptionId="<Subscription ID>"

在CMK UI中提供以下資訊:
在UI中填入資訊

撤銷金鑰存取許可權的影響 implications-of-revoking-key-access

撤銷或停用金鑰儲存庫、金鑰或CMK應用程式的存取權,可能會對您的AEM as a Cloud Service環境造成重大營運中斷。 這些索引鍵停用後,AEM as a Cloud Service中的資料就無法存取,且所有依賴此資料的下游作業都會停止運作。 在對您的關鍵設定進行任何變更之前,瞭解潛在影響至關重要。

如果您決定撤銷AEM as a Cloud Service對您資料的存取權,可以從Azure的金鑰儲存庫中移除與應用程式相關聯的使用者角色。

後續步驟 next-steps

在CMK UI中提供所需資訊後,Adobe會針對您的AEM as a Cloud Service環境開始設定程式。 此程式需要時間,完成後您會收到通知。

等待 Adobe 設定環境。

完成CMK設定 complete-the-cmk-setup

配置程式完成後,您可以在UI中檢視CMK設定的狀態。您也可以看到金鑰儲存庫和加密金鑰。
處理序目前已完成

問題與支援 questions-and-support

如果您有任何問題、查詢或需要協助,請聯絡Adobe,進行AEM as a Cloud Service的客戶自控金鑰設定。 Adobe支援可解決您面對的任何問題。

recommendation-more-help
experience-manager-cloud-service-help-main-toc