使用Platform UI設定及設定客戶自控金鑰

本文介紹在Platform中使用UI啟用客戶自控金鑰(CMK)功能的程式。 如需有關如何使用API完成此程式的說明,請參閱API CMK設定檔案

先決條件

若要在Adobe Experience Platform中檢視並瀏覽加密區段,您必須已建立角色,並已將管理客戶管理的金鑰許可權指派給該角色。 任何擁有管理客戶管理的金鑰許可權的使用者都可以為其組織啟用CMK。

有關在Experience Platform中指派角色和許可權的詳細資訊,請參閱設定許可權檔案

若要啟用CMK,您的Azure 金鑰儲存庫必須使用下列設定來設定

設定CMK應用程式 register-app

在您設定金鑰儲存庫後,下一步是註冊將連結至您Azure租使用者的CMK應用程式。

快速入門

若要檢視加密設定儀表板,請選取左側導覽側邊欄管理標題下的​ 加密

加密組態儀表板(含加密)和客戶管理的金鑰卡已反白顯示。

選取​ 設定 ​以開啟客戶自控金鑰設定檢視。 此工作區包含完成下列步驟以及與Azure金鑰儲存庫執行整合所需的所有必要值。

複製驗證URL copy-authentication-url

若要開始註冊程式,請從客戶自控金鑰組態檢視複製您組織的應用程式驗證URL,並將其貼到您的Azure環境​ Key Vault Crypto Service Encryption User ​中。 下一節提供如何指派角色的詳細資訊。

選取復製圖示( 復製圖示。 ),由應用程式驗證URL。

反白顯示[應用程式驗證URL]區段的客戶受管理的金鑰組態檢視。

將應用程式驗證URL複製並貼到瀏覽器,以開啟驗證對話方塊。 選取​ Accept ​將CMK應用程式服務主體新增至您的Azure租使用者。 確認驗證會將您重新導向至Experience Cloud登陸頁面。

反白顯示接受的Microsoft許可權要求對話方塊。

IMPORTANT
如果您有多個Microsoft Azure訂閱,那麼您可能會將您的Platform執行個體連線到錯誤的金鑰儲存庫。 在此情況下,您必須將CMK目錄ID的應用程式驗證URL名稱的common區段交換。
從Microsoft Azure應用程式的入口網站設定、目錄和訂閱頁面複製CMK目錄ID
反白顯示目錄識別碼的Microsoft Azure應用程式入口網站設定、目錄和訂閱頁面。
接著,將它貼到您的瀏覽器位址列。
反白顯示應用程式驗證URL的「一般」區段的Google瀏覽器頁面。

將CMK應用程式指派給角色 assign-to-role

完成驗證程式後,請導覽回您的Azure金鑰儲存庫,並在左側導覽中選取​ Access control。 從這裡,依次選取​ Add ​和​ Add role assignment

反白顯示Add和Add role assignment的Microsoft Azure儀表板。

下一個畫面會提示您選擇此指派的角色。 選取​ Key Vault Crypto Service Encryption User ​再選取​ Next ​以繼續。

NOTE
如果您有Managed-HSM Key Vault層,則必須選取​ Managed HSM Crypto Service Encryption User ​使用者角色。

反白顯示Key Vault Crypto Service Encryption User的Microsoft Azure儀表板。

在下一個畫面中,選擇​ Select members ​以在右側邊欄中開啟對話方塊。 使用搜尋列來尋找CMK應用程式的服務主體,並從清單中選取它。 完成後,選取​ Save

NOTE
如果您在清單中找不到您的應用程式,則表示您的服務主體尚未被租使用者接受。 為確保您擁有正確的許可權,請與您的Azure管理員或代表合作。

您可以將客戶受管理金鑰組態檢視上提供的應用程式識別碼與Microsoft Azure應用程式總覽上提供的Application ID進行比較,以驗證應用程式。

反白顯示應用程式識別碼的客戶受管理的金鑰組態檢視。

驗證Azure工具所需的所有詳細資訊都包含在平台UI中。 如果許多使用者希望使用其他Azure工具來增強其監視和記錄這些應用程式對其金鑰儲存庫存取的能力,則會提供此詳細程度等級。 瞭解這些識別碼對於該目的以及協助Adobe服務存取金鑰至關重要。

在Experience Platform上啟用加密金鑰設定 send-to-adobe

在Azure上安裝CMK應用程式後,您可以將加密金鑰識別碼傳送給Adobe。 在左側導覽中選取​ Keys,然後選取您要傳送的金鑰名稱。

反白顯示Keys物件和金鑰名稱的Microsoft Azure儀表板。

選取金鑰的最新版本,其詳細資訊頁面就會顯示。 從這裡,您可以選擇設定金鑰的允許操作。

IMPORTANT
金鑰允許的最小必要操作為​ Wrap Key ​和​ Unwrap Key ​許可權。 您可視需要包含Encrypt、Decrypt、Sign和Verify。

金鑰識別碼 ​欄位會顯示金鑰的URI識別碼。 複製此URI值以用於下一個步驟。

Microsoft Azure儀表板金鑰詳細資訊,其中Permitted operations和復本金鑰URL區段強調顯示。

取得Key vault URI之後,請返回客戶受管理的金鑰組態檢視,並輸入描述性的​ 組態名稱。 接著,將取自Azure金鑰詳細資料頁面的Key Identifier新增至​ 金鑰儲存庫金鑰識別碼,並選取​ 儲存

具有設定名稱和金鑰儲存庫金鑰識別碼區段的客戶受管理金鑰組態檢視(已強調顯示)。

您返回加密設定儀表板。 客戶受管理的金鑰組態的狀態會顯示為處理中。

具有處理的加密設定儀表板在客戶受管理的金鑰卡上強調顯示。

驗證設定的狀態 check-status

允許相當長的處理時間。 若要檢查組態狀態,請返回客戶自控金鑰組態檢視,然後向下捲動至組態狀態。 進度列已進階至步驟一,說明系統正在驗證Platform是否可存取金鑰和金鑰儲存庫。

CMK設定有四種可能的狀態。 具體如下:

  • 步驟1:驗證Platform是否能夠存取金鑰和金鑰儲存庫。
  • 步驟2:金鑰儲存庫和金鑰名稱正在新增至貴組織的所有資料存放區。
  • 步驟3:金鑰儲存庫和金鑰名稱已成功新增至資料存放區。
  • FAILED:發生問題,主要與金鑰、金鑰儲存庫或多租使用者應用程式設定有關。

後續步驟

完成上述步驟,您已成功為組織啟用CMK。 現在將使用Azure金鑰儲存庫中的金鑰加密和解密擷取到主要資料存放區的資料。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5