外部密钥管理
Shield 外部密钥管理 (EKM) 将您的 Salesforce 实施连接到外部 KMS 中的密钥材料(租户密码、数据加密密钥或根密钥),并使用该密钥材料对 Salesforce 数据进行加密操作。EKM 通过安全渠道按需从外部 KMS 获取密钥。EKM 目前可用于核心加密服务(例如 FLE)、所有 Data 360 数据和 Shield Platform Encryption 搜索索引。
所需的 Edition
| 适用于 Lightning Experience 和 Salesforce Classic(并非在所有组织中可用)。 |
| 适用于:Enterprise、Performance、Unlimited 和 Developer Edition。需要购买 Salesforce Shield 或 Shield Platform Encryption,以及外部密钥管理服务。Data 360 客户还必须拥有 Platform Encryption for Consumer 许可证。 |
| 所需用户权限 | |
|---|---|
| 生成、损坏、导出、导入、上载并配置租户密码和客户提供的密钥材料: | “管理加密密钥”权限 |
当您使用 EKM 加密数据时,您会获得 Salesforce Shield 平台加密内置的好处,以及使用您的首选密钥管理服务管理密钥带来的额外保证。与 Salesforce 的仅缓存密钥服务不同,EKM 本地集成外部密钥管理服务,以实现更快、更简化的用户体验。
对于 Shield Platform Encryption 的核心功能,而不是使用自己的租户密码(字段、文件和附件、CRM Analytics 数据和事件总线数据),EKM 会管理您的租户密码。EKM 将您的租户密码存储在密钥缓存中,并使用您的密钥进行即时加密和解密操作。
对于使用根密钥的 Shield Platform Encryption功能(Data 360 平台加密和搜索索引加密),EKM 会管理根密钥。
Salesforce 不会在任何系统的记录或备份中保留或存留缓存的 EKM 密钥。您可以随时撤销密钥材料。
- Salesforce Shield EKM 的工作原理
Shield Platform Encryption 在使用外部密钥管理 (EKM) 时,依赖于客户的外部密钥管理服务 (KMS) 来管理数据加密密钥 (DEK)。这些 DEK 对于加密和解密数据至关重要。在不使用时,DEK 以“封装”(加密)状态存储在 Shield Platform Encryption 的密钥缓存中。对于任何加密或解密操作,Shield Platform Encryption 会将封装的 DEK 发送到客户的外部密钥服务,然后由外部密钥服务将其解压缩并安全地返回。对于 Data 360 用户,此过程也保持一致。 - EKM 前提条件
要使用 EKM,您必须在支持的外部密钥管理服务中创建足够强度的数据加密密钥 (DEK)。您还应检查外部应用程序是否可以与密钥服务通信,以安全地检索 DEK。 - 关键协调策略设置
跟踪外部 KMS 密钥和依赖于它的 Salesforce EKM 密钥的状态。 - 将 Salesforce 连接到 AWS KMS 并创建数据加密密钥
在配置 Salesforce 和 AWS 之间的连接时,您会提供有关您希望 Salesforce 使用的 AWS KMS 密钥的信息(密钥标识符、区域和描述)。然后,生成 JSON 结构,并将该结构添加到密钥的 AWS 控制台中的密钥策略。 - 适用于 EKM 的密钥维护和审计
常见密钥操作包括审核、取消激活、重新激活、轮换和检查与外部密钥的连接。这些操作会影响 Salesforce 设置中识别的密钥。外部 KMS 中的原始密钥由单独的外部进程管理。 - Sandbox 组织中 EKM
从使用 EKM 密钥的源组织复制、刷新或复制的 Sandbox 组织被授予对源组织密钥的最低访问权限,以便它可以解密它从源组织继承的任何加密数据。Sandbox 组织无法以任何方式管理其源组织的密钥,因为 Sandbox 对这些密钥的访问权限有限。创建后,在 Sandbox 组织中轮换密钥。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
