封装 BYOK 密钥材料
生成随机数字作为 BYOK 密钥材料。仅对于 FLE,您还可以计算密码的 SHA256 散列,并使用您生成的兼容 BYOK 证书中的公钥进行加密。
所需的 Edition
| 适用于 Salesforce Classic(并非在所有组织中可用)和 Lightning Experience。 |
| 适用于:具有 Salesforce Shield 或 Shield Platform Encryption 许可证的 Enterprise、Performance 和 Unlimited Edition。 |
| 在 Developer Edition 中免费提供。 |
| 所需用户权限 | |
|---|---|
| 通过 Shield Platform Encryption 自带密钥服务,编辑、上载和下载 HSM 保护的证书 | 管理证书 与 自定义应用程序 与 “管理加密密钥”权限 |
备注 您只能将密码用作 BYOK 密钥一次。如果您需要多个 BYOK 密钥,您需要为每个密钥使用一个唯一的密码。
-
使用您选择的方法生成 256 位密码。
您可以通过 2 种方式之一生成密码:
- 使用可生成、保护和共享租户密码访问权限的密钥中介合作伙伴。
- 使用您自己的内部资源,使用开源库(例如 Bouncy Castle 或 OpenSSL)以编程方式生成密码。
提示 我们提供的脚本可帮助您为所有 BYOK 类型创建封装的 BYOK 密码。有关详细信息,请参考本节中的示例脚本。
-
使用功能所需的 SHA512 填充算法,使用您生成的兼容 4096 位 BYOK 证书中的公钥封装租户密码。
对于字段级加密,指定 OAEP 填充方案。请确保剩余的加密租户密码和散列租户密码文件均使用 base64 进行加密。对于搜索索引和数据库加密,指定PKCS#11
CKM_RSA_AES_KEY_WRAP方案。备注 虽然我们推荐 SHA512 填充算法,但使用 OAEP 填充方案的租户密码仍然可以使用 SHA1 填充算法。 - 将此加密密码编码为 base64。
- 计算纯文本密码的 SHA-256 散列。
- 将明文密码的 SHA-256 散列编码为 base64。
- 生成 BYOK 租户密码的示例脚本
我们提供了一个助手脚本,该脚本可能便于准备您的租户密码进行上传。该脚本会为租户密码生成随意数字、计算密码的 SHA256 哈希,并使用证书中的公共密钥,以对密码进行加密。此脚本仅用于创建 BYOK 租户密码 FLE、文件和附件以及事件数据。 - 为搜索和数据库加密生成 BYOK 密码的示例脚本
我们提供了一个脚本来帮助您上传用于搜索和数据库加密的 BYOK 材料。它为搜索创建可上载的 DEK,或为数据库加密创建可上载的租户密码。该脚本会生成一个随机数字作为密码,并使用证书中的公钥加密密码。 - 为 Data 360 生成 BYOK 密码的示例脚本
我们提供了一个脚本来帮助您上传 BYOK 材料,以用于 Platform Encryption for Data 360。它创建了一个可上传的根密钥。该脚本会生成一个随机数字作为密码,并使用证书中的公钥加密密码。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
