Вы находитесь здесь:
Перенос материала ключа BYOK
Создайте случайное число в качестве материала ключа BYOK. Только для FLE вы также вычисляете хэш SHA256 секрета и шифруете его открытым ключом из созданного вами сертификата, совместимого с BYOK.
Требуемые версии
| Доступно как в Salesforce Classic (недоступно во всех организациях), так и в Lightning Experience. |
| Доступно в версиях: Enterprise, Performance и Unlimited Edition с лицензиями Salesforce Shield или Shield Platform Encryption. |
| Доступно бесплатно в версии Developer Edition. |
| Необходимые полномочия пользователя | |
|---|---|
| Редактирование, загрузка и загрузка сертификатов, защищенных HSM, с помощью службы Shield Platform Encryption Bring Your Own Key: | Управление сертификатами AND Настройка приложения AND Управление ключами шифрования |
Примечание Секрет можно использовать в качестве ключа BYOK только один раз. Если вам нужно несколько ключей BYOK, используйте уникальный секрет для каждого из них.
-
Создайте 256-разрядный секрет выбранным методом.
Создать секрет можно одним из двух способов:
- Используйте ключевого партнера брокера, который может создать, обезопасить и предоставить общий доступ к секрету клиента.
- Используйте собственные локальные ресурсы для создания секрета программным способом, используя открытую библиотеку, например, Bouncy Castle или OpenSSL.
Совет Мы предоставили сценарии, которые могут помочь вам создать добавленные секреты BYOK для всех типов BYOK. Дополнительную информацию см. в примерах сценариев в этом разделе.
-
Перенесите секрет клиента с открытым ключом из 4096-разрядного сертификата BYOK, созданного посредством алгоритма отступа SHA512, необходимого для функции.
Для шифрования уровня поля укажите схему отступа OAEP. Убедитесь, что итоговый зашифрованный секрет клиента и файлы хэшированных секретов клиента зашифрованы посредством base64. В поле «Поисковый индекс и шифрование базы данных» укажите схему
CKM_RSA_AES_KEY_WRAPPKCS# 11.Примечание Хотя мы рекомендуем алгоритм накладки SHA512, секреты клиента, использующие схему накладки OAEP, могут использовать алгоритм накладки SHA1. - Зашифруйте этот зашифрованный секрет в base64.
- Вычислите хэш SHA-256 секрета простого текста.
- Закодируйте хэш SHA-256 секрета простого текста на base64.
- Пример сценария для создания секрета клиента BYOK
Мы предоставляем сценарий помощника, который может быть удобен для подготовки секрета клиента к загрузке. Сценарий создает случайное число в качестве секрета клиента, вычисляет SHA256-хэш секрета и использует открытый ключ из сертификата для шифрования секрета. Этот сценарий предназначен для создания секрета клиента BYOK только FLE, файлов и вложений и данных событий. - Пример сценария для создания секретов BYOK для поиска и шифрования базы данных
Мы предоставили сценарий для загрузки материала BYOK для поиска и шифрования базы данных. Он создает загружаемый DEK для поиска или загружаемый секрет клиента для шифрования базы данных. Сценарий создает случайное число в качестве секрета и использует открытый ключ из сертификата для шифрования секрета. - Пример сценария для создания секретов BYOK для Data 360
Мы предоставили сценарий, который поможет вам загрузить материал BYOK для шифрования платформы для Data 360. Он создает загружаемый корневой ключ. Сценарий создает случайное число в качестве секрета и использует открытый ключ из сертификата для шифрования секрета.
Эта статья решила вашу проблему?
Оставьте свой отзыв, чтобы мы могли стать лучше!
