Adobe Experience Platform中的客戶自控金鑰
儲存在Adobe Experience Platform上的資料會使用系統層級的金鑰進行靜態加密。 如果您使用以Experience Platform為基礎建立的應用程式,則可以選擇改用您自己的加密金鑰,讓您更能掌控資料安全性。
本檔案提供在Azure和AWS中啟用Experience Platform中客戶自控金鑰(CMK)功能的程式整體概觀,以及完成這些步驟所需的先決條件資訊。
先決條件
若要啟用CMK,您平台的裝載環境(Azure或AWS)必須符合特定的設定需求:
一般必要條件
若要在Adobe Experience Platform中檢視及存取加密區段,您必須已建立角色,並已將管理客戶管理的金鑰許可權指派給該角色。 任何具有管理客戶受管理金鑰許可權的使用者都可以為其組織啟用CMK。
如需在Experience Platform中指派角色和許可權的詳細資訊,請參閱設定許可權檔案。
Azure專屬必要條件
針對Azure代管實作,請使用下列設定來設定您的Azure金鑰儲存庫:
AWS專屬必要條件
針對AWS託管的實作,請依照以下方式設定您的AWS環境:
- 確保您擁有使用AWS Identity and Access Management (IAM)管理加密金鑰的許可權。 如需詳細資訊,請參閱AWS KMS的IAM原則。
- 設定支援CMK的AWS KMS。 請參閱AWS KMS資料加密指南。
程式摘要 process-summary
客戶自控金鑰(CMK)可透過Adobe的Healthcare Shield及Privacy and Security Shield產品提供。 在Azure上,CMK同時支援Healthcare Shield和Privacy and Security Shield。 在AWS上,CMK僅支援Privacy and Security Shield,不適用於Healthcare Shield。 您的組織購買其中一項方案的授權後,您就可以開始啟用CMK的一次性設定流程。
程式如下:
適用於Azure azure-process-summary
完成Azure代管的Experience Platform執行個體的設定程式後,所有沙箱上線到Experience Platform的所有資料都將使用您的Azure金鑰設定進行加密。 若要使用CMK,您將善用Microsoft Azure功能,這些功能可能是其公開預覽方案的一部分。
適用於AWS aws-process-summary
- 設定要與AWS共用的加密金鑰,以設定Adobe KMS。
- 遵循UI安裝指南中的AWS特定指示。
- 驗證設定,確認已使用AWS代管的金鑰加密Experience Platform資料。
AWS託管的Experience Platform執行個體的設定程式一旦完成,所有沙箱上線至Experience Platform的所有資料,都會使用您的AWS金鑰管理服務(KMS)設定進行加密。 若要在AWS上使用CMK,您將使用AWS金鑰管理服務來建立和管理您的加密金鑰,以符合貴組織的安全需求。
撤銷金鑰存取許可權的影響 revoke-access
撤銷或停用Azure中金鑰儲存庫、金鑰或CMK應用程式的存取權或AWS中的加密金鑰可能會導致重大中斷,包括對Experience Platform操作的重大變更。 索引鍵停用後,Experience Platform中的資料可能會變得無法存取,且依賴此資料的任何下游作業都將停止運作。 在對您的關鍵設定進行任何變更之前,完全瞭解下游影響至關重要。
若要撤銷Experience Platform對您在Azure中資料的存取權,請從金鑰儲存庫中移除與應用程式相關聯的使用者角色。 對於AWS,您可以停用金鑰或更新原則陳述式。 如需AWS程式的詳細說明,請參閱金鑰撤銷區段。
傳輸時間表 propagation-timelines
從您的Azure金鑰儲存庫撤銷金鑰存取後,變更將傳播如下:
例如,設定檔儀表板最多會在資料過期並重新整理前七天持續顯示其快取中的資料。 同樣地,重新啟用應用程式的存取權時,也需要同樣的時間來還原這些存放區中的資料可用性。
後續步驟
若要開始此程式:
- 對於Azure:首先設定 Azure 金鑰儲存庫,然後產生加密金鑰以與Adobe共用。
- 針對AWS: 請設定AWS KMS,並確保IAM和KMS設定正確,然後再繼續參閱UI或API設定指南。