使用Platform UI設定及設定客戶自控金鑰

本文介紹在Platform中使用UI啟用客戶自控金鑰(CMK)功能的程式。 如需有關如何使用API完成此程式的說明,請參閱 API CMK設定檔案.

先決條件

若要檢視並造訪 加密 Adobe Experience Platform區段,您必須已建立角色並指派 管理客戶自控金鑰 該角色的許可權。 任何使用者擁有 管理客戶自控金鑰 許可權可為其組織啟用CMK。

有關在Experience Platform中指派角色和許可權的詳細資訊,請參閱 設定許可權檔案.

若要啟用CMK,您的 Azure 必須設定金鑰儲存庫 設定下:

設定CMK應用程式 register-app

設定好金鑰儲存庫後,下一步就是註冊將連結至您的 Azure 租使用者。

快速入門

若要檢視 加密設定 儀表板,選取 加密 在 管理 左側導覽側欄的標題。

加密設定儀表板(含加密)和客戶自控金鑰卡會醒目提示。

選取 設定 以開啟 客戶自控金鑰組態 檢視。 此工作區包含完成下列步驟以及與Azure金鑰儲存庫執行整合所需的所有必要值。

複製驗證URL copy-authentication-url

若要開始註冊程式,請從以下位置複製您組織的應用程式驗證URL: 客戶自控金鑰組態 檢視並貼到 Azure 環境 Key Vault Crypto Service Encryption User. 操作方法的詳細資訊 指派角色 將於下一節提供。

選取復製圖示( 復製圖示。 )由 應用程式驗證URL.

此 客戶自控金鑰組態 檢視時會醒目提示「應用程式驗證URL」區段。

複製並貼上 應用程式驗證URL 在瀏覽器中開啟驗證對話方塊。 選取 Accept 若要將CMK應用程式服務主體新增至 Azure 租使用者。 確認驗證會將您重新導向至Experience Cloud登陸頁面。

Microsoft許可權要求對話方塊,其中包含 Accept 反白顯示。

IMPORTANT
如果您有多個 Microsoft Azure 訂閱,您就可能會將平台執行個體連線到錯誤的金鑰儲存庫。 在此情況下,您必須交換 common CMK目錄ID的應用程式驗證URL名稱的區段。
從的入口網站設定、目錄和訂閱頁面複製CMK目錄ID Microsoft Azure 應用計畫
此 Microsoft Azure 「應用程式入口網站」設定、「目錄與訂閱」頁面,其中醒目提示目錄ID。
接著,貼到您的瀏覽器位址列中。
反白顯示應用程式驗證URL之「通用」區段的Google瀏覽器頁面。

將CMK應用程式指派給角色 assign-to-role

完成驗證程式後,請導覽回 Azure 金鑰儲存庫及選擇 Access control ,位於左側導覽器中。 從這裡,選擇 Add 後面接著 Add role assignment.

此 Microsoft Azure 儀表板,具有 Add 和 Add role assignment 反白顯示。

下一個畫面會提示您選擇此指派的角色。 選取 Key Vault Crypto Service Encryption User 在選取之前 Next 以繼續。

NOTE
如果您擁有 Managed-HSM Key Vault 層,則必須選取 Managed HSM Crypto Service Encryption User 使用者角色。

此 Microsoft Azure 儀表板 Key Vault Crypto Service Encryption User 反白顯示。

在下一個畫面,選擇 Select members 以開啟右側邊欄中的對話方塊。 使用搜尋列來尋找CMK應用程式的服務主體,並從清單中選取它。 完成後,選取 Save.

NOTE
如果您在清單中找不到您的應用程式,則表示您的服務主體尚未被租使用者接受。 為確保您擁有正確的許可權,請使用您的 Azure 管理員或代表。

您可以透過比較 應用程式ID 提供於 客戶自控金鑰組態 使用檢視 Application ID 提供於 Microsoft Azure 應用程式概述。

此 客戶自控金鑰組態 使用檢視 應用程式ID 反白顯示。

驗證Azure工具所需的所有詳細資訊都包含在平台UI中。 如果許多使用者希望使用其他Azure工具來增強其監視和記錄這些應用程式對其金鑰儲存庫存取的能力,則會提供此詳細程度等級。 瞭解這些識別碼對於該目的以及協助Adobe服務存取金鑰至關重要。

在Experience Platform上啟用加密金鑰設定 send-to-adobe

在上安裝CMK應用程式後 Azure,即可將加密金鑰識別碼傳送至Adobe。 選取 Keys ,然後輸入要傳送的金鑰名稱。

Microsoft Azure控制面板具有 Keys 物件和醒目提示的金鑰名稱。

選取金鑰的最新版本,其詳細資訊頁面就會顯示。 從這裡,您可以選擇設定金鑰的允許操作。

IMPORTANT
金鑰允許的最小必要操作為 Wrap KeyUnwrap Key 許可權。 您可以包括 Encrypt, Decrypt, Sign、和 Verify 您想要的話。

金鑰識別碼 欄位會顯示金鑰的URI識別碼。 複製此URI值以用於下一個步驟。

Microsoft Azure儀表板金鑰詳細資訊,包含 Permitted operations 和複製金鑰URL區段強調顯示。

取得 Key vault URI,返回 客戶自控金鑰組態 檢視並輸入描述性 設定名稱. 接下來,新增 Key Identifier 從Azure金鑰詳細資料頁面擷取至 金鑰儲存庫金鑰識別碼 並選取 儲存.

此 客戶自控金鑰組態 使用檢視 設定名稱 和 金鑰儲存庫金鑰識別碼 區段會反白顯示。

您將返回 加密設定儀表板. 的狀態 客戶自控金鑰 組態顯示為 處理中.

此 加密設定 儀表板,具有 處理中 反白顯示於 客戶自控金鑰 卡片。

驗證設定的狀態 check-status

允許相當長的處理時間。 若要檢查組態狀態,請返回 客戶自控金鑰組態 檢視並向下捲動至 設定狀態. 進度列已進階至步驟一,說明系統正在驗證Platform是否可存取金鑰和金鑰儲存庫。

CMK設定有四種可能的狀態。 具體如下:

  • 步驟1:驗證Platform是否能夠存取金鑰和金鑰儲存庫。
  • 步驟2:金鑰儲存庫和金鑰名稱正在新增至貴組織的所有資料存放區。
  • 步驟3:金鑰儲存庫和金鑰名稱已成功新增至資料存放區。
  • FAILED:發生問題,主要與金鑰、金鑰儲存庫或多租使用者應用程式設定有關。

後續步驟

完成上述步驟,您已成功為組織啟用CMK。 現在,您會使用中的金鑰,將內嵌至主要資料存放區的資料加密和解密。 Azure 金鑰儲存庫。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5