Vous êtes ici :
Présentation de Bring Your Own Key (BYOK)
Lorsque vous fournissez votre propre secret locataire ou clé de cryptage des données (DEK), vous bénéficiez des avantages intégrés à Salesforce Shield Platform Encryption, plus l'assurance supplémentaire qui découle de la gestion exclusive de votre propre matériel de clé. Selon la fonctionnalité, BYOK prend en charge les clés dérivées et les DEK. Pour être compatible avec Salesforce BYOK, utilisez une paire de clés RSA 4096 cryptée et codée en Base64 avec les en-têtes et les pieds de page appropriés.
Éditions requises
| Disponible avec Salesforce Classic (pas disponible dans toutes les organisations) et avec Lightning Experience |
| Disponible avec : les éditions Enterprise, Performance et Unlimited avec les licences Salesforce Shield ou Shield Platform Encryption. |
| Disponible gratuitement dans Developer Edition. |
| Autorisations utilisateur requises | |
|---|---|
| Pour générer, détruire, exporter, importer et charger des secrets locataires et le matériel de clé fourni par le client : | Gérer les clés de cryptage |
| Pour modifier, charger et télécharger des certificats protégés par HSM avec le service Fournir votre propre clé de Shield Platform Encryption : | Gérer les clés de cryptage ET Gérer les certificats ET Personnaliser l'application |
Le contrôle de votre propre secret locataire ou DEK implique :
- Génération d'un certificat compatible BYOK pour le type de cryptage
- Utilisation de ce certificat compatible BYOK pour crypter et sécuriser votre secret locataire auto-généré ou DEK
- Accordez ensuite l'accès à ces clés au dispositif de gestion des clés de Salesforce Shield Platform Encryption de Salesforce.
Remarque BYOK est disponible pour plusieurs fonctionnalités Shield Platform Encryption (FLE, Database Encryption, Data 360, etc.). Assurez-vous d'utiliser les instructions appropriées pour votre fonctionnalité.
Pour faciliter l'audit, tout le matériel de clé généré par Salesforce et fourni par le client est visible dans la page Gestion des clés.
- Présentation de Bring Your Own Key (BYOK)
Vous pouvez générer et stocker du matériel de clé fourni par le client hors de Salesforce en utilisant vos propres bibliothèques de cryptage, votre système de gestion des clés d'entreprise ou votre module de sécurité matériel (HSM). Vous accordez ensuite l'accès à ces clés au dispositif de gestion des clés de Shield Platform Encryption de Salesforce. Vous devez crypter vos clés avec une clé publique d'un certificat auto-signé ou signé par une autorité de certification. BYOK est disponible pour FLE, Fichiers et pièces jointes, Données du bus d'événements, Index de recherche, Data 360 et Cryptage de la base de données. - Génération d'un certificat compatible BYOK
Pour crypter des données dans Salesforce avec le matériel de clé Bring Your Own Key (BYOK) pour n'importe quelle fonctionnalité, par exemple le cryptage au niveau du champ ou le cryptage de la recherche, utilisez Salesforce pour générer un certificat RSA 4096 bits. Vous pouvez générer un certificat auto-signé ou signé par une autorité de certification (CA). Chaque clé privée de certificat compatible BYOK est cryptée avec une clé de secret locataire dérivée, spécifique à l'organisation. - Génération d'une empreinte de certificat
Utilisez ce script pour récupérer l'empreinte d'un certificat. - Matériau de clé Wrap BYOK
Générez un nombre aléatoire en tant que matériel de clé BYOK. Pour FLE uniquement, vous calculez également un hachage SHA256 du secret et le cryptez avec la clé publique du certificat compatible BYOK que vous avez généré. - Chargement de votre matériel de clé BYOK
Shield Platform Encryption prend en charge BYOK pour FLE, Event Log Data, Index de recherche Encryption et Database Encryption. Comme ils prennent tous en charge différentes cibles de cryptage, ils ont besoin de différents types de matériel de clé BYOK. Pour FLE, Event Log Data et Database Encryption, vous chargez un secret locataire BYOK. Foc Index de recherche Cryptage vous chargez une clé de cryptage des données (DEK). - Désabonnement de la dérivation des clés avec le service BYOK
Pour Cryptage au niveau du champ (FLE), Fichiers et pièces jointes et Données du bus d'événements, vous pouvez vous désabonner de la dérivation de clé et charger une clé de cryptage des données finale (DEK). Le désabonnement renforce votre contrôle du matériel de clé utilisé pour crypter et décrypter vos données. - Sauvegarde de vos clés Bring Your Own Key
Lorsque vous créez et stockez vos propres clés hors de Salesforce, il est important de les sauvegarder. Assurez-vous d'utiliser un emplacement de confiance pour archiver vos clés. N'enregistrez jamais un secret locataire ou une clé de cryptage de données sur un disque dur sans sauvegarde. - Dépannage du service Bring Your Own Key
Les réponses à une ou plusieurs questions fréquemment posées ci-dessous peuvent vous aider à dépanner les problèmes rencontrés avec le service Bring Your Own Key de Shield Platform Encryption.
Voir également :
Cet article a-t-il résolu votre problème ?
Dites-nous ce que nous pouvons améliorer !
