平台加密问答
以下是一些关于平台加密的常见问题。
所需的 Edition
| 适用于 Salesforce Classic(并非在所有组织中可用)和 Lightning Experience。 |
| 适用于:具有 Salesforce Shield 或 Shield Platform Encryption 许可证的 Enterprise、Performance 和 Unlimited Edition。 |
| 在 Developer Edition 中免费提供。 |
备注 此内容与 Shield Platform Encryption 相关。阅读关于在 Own from Salesforce 中使用 Shield Extension 实施字段级加密。
| 问题 | 回答 |
|---|---|
| 使用平台加密的硬件和软件要求是什么? | 无。加密函数在 Salesforce 平台上本地运行。加密或解密数据不需要自定义代码。 |
| 在使用平台加密时,我是否必须加密所有数据? | 否。并非所有数据都是敏感的,因此并不总是需要加密。此外,不必要的加密数据会影响性能和功能。但是,如果您选择,您可以使用数据库加密来加密整个事务数据库。 |
| 在启用平台加密时,现有加密字段会受到什么影响? | 平台加密过程不会影响使用经典加密加密的字段。 |
| 当我启用平台加密时,我的用户是否会遇到性能延迟? | 启用 Shield Platform Encryption 后,您的用户不太可能发现日常使用 Salesforce 的性能有任何差异。在生产组织中启用前,我们建议您在完全复制 Sandbox 中启用 Shield Platform Encryption,并在真实条件下进行测试。 |
| 平台加密使用什么加密算法? | 对于 FLE 和数据库加密,平台加密使用对称密钥加密和 256 位高级加密标准 (AES) 算法来加密存储在 Salesforce 平台上的数据。数据加密和解密均发生在应用程序服务器中。加密集成到 Salesforce 应用程序中,因此应用程序知道何时必须加密或解密数据。无论您是通过用户界面还是 API 访问数据,加密和解密都是以相同的方式处理的。 |
| 能否使用 API 访问租户密码? | 是。例如,对于 FLE,您可以使用 API 定义定期轮换平台加密密钥的自动流程。有关详细信息,请在 Salesforce 和 Lightning 平台的对象参考中搜索 TenantSecret。 |
| 当 Salesforce 轮换主密码时,内存中保存的数据加密密钥会自动轮换吗? | 否。虽然 Salesforce 会按版本轮换主密码,但客户的数据加密密钥不受影响。不会自动派生新的数据加密密钥。 |
| 我使用平台加密,加密复选框在我创建或编辑现有自定义字段时不可见。为什么? | 只有电子邮件、电话、文本、文本区域、文本区域(长)、文本区域(富)、日期、日期/时间和 URL 自定义字段类型可用于加密。 |
| 如果我轮换租户密码,现有数据会发生什么? | 在您生成新租户密码时,只要旧租户密码未销毁,现有加密数据仍会保持加密状态并可访问。(由于数据库加密的体系结构,其密钥永远不会被销毁。)使用新租户密码加密新数据。对用户而言,没有任何功能差异。 |
| 如何精细控制使用平台加密加密哪些数据? | 对于字段数据,您可以控制加密哪些支持的标准和自定义字段。对于文件和附件,您可以控制是否在贵组织中启用加密。 |
| 如果我启用平台加密,自定义电话、电子邮件和 URL 字段的格式是否保留? | 是,自定义电话、电子邮件和 URL 字段的格式会在加密时保留。 |
| 硬件安全模块 (HSM) 网络设备是否由多个租户共享? | 是。HSM 生成的密钥材料是每个版本的秘密或每个租户的秘密。两者都需要加密您的数据,因此没有两个租户拥有相同的数据加密密钥。 |
| 第三方供应商是否可以访问硬件安全模块 (HSM)? | 否。Salesforce 仅控制对 HSM 的访问。 |
| 租户密码、主要密码和数据加密密钥需要多长时间? | 长度为 256 位。 |
| 数据加密密钥存储在何处? | 密钥仅存储在内存中,从未保存在磁盘上。 |
| 能否在 Salesforce 之外管理密钥? | 是。您可以在 Salesforce 之外存储您的密钥,并让外部密钥管理服务或仅缓存密钥服务根据需要,从您控制的密钥服务获取它。 |
| 我们可以拥有的密钥数量限制是多少? | 在所有类型的租户密码中,您最多可以有 50 个有效和归档的 FLE 租户密码。此限制不包括数据库租户密码。例如,可包含一个活动和 49 个归档字段和文件(概率性);对于 Analytics 租户密码,数量也是如此。此限制包含 Salesforce 生成和客户提供的密钥材料。 |
| 如果我已经拥有太多有效和归档的密码,该怎么办? | 如果您遇到 50 个限制,请查看您的加密覆盖率统计数据,以找到我们的有效密钥覆盖率。选择要销毁的一个或多个密钥。在将加密的数据与活动密钥同步之前,请勿销毁任何加密数据。 |
| 我存储在 Salesforce 外部的密钥是否是 50 个密钥限制的一部分? | 未销毁的密钥总数限制为 50 个。这包括由外部服务通过 EKM、BYOK 和仅缓存密钥服务管理的密钥。 |
| 如何生成特定于组织的密钥? | 数据加密密钥由密钥派生函数 (KDF) 派生,该函数将主要秘密与特定于组织的租户秘密和随机生成的 128 位字符串组合在一起。 |
| 加密策略定义在哪里? | 贵组织定义自己的策略。 |
| 我可以重新加密加密数据吗? | 是。您可以查看加密覆盖率统计数据,以查找我们的有效密钥覆盖率。然后,如果需要,您可以使用后台加密服务将数据加密与最新的租户密码同步。 |
| 平台加密密钥能否在多个组织中共享? | 否。加密密钥特定于组织,不能与其他组织共享。此外,密钥仅可用于 1 个功能。例如,FLE 的密钥不能用于搜索索引。 |
| 使用平台加密加密字段、文件和附件是否计入组织的存储限制? | 否。加密和解密会计入贵组织的每个事务 Apex 限制,但不会计入单独事务。 |
| 我可以加密多少个字段? | Salesforce 对您可以加密的字段数量没有硬性限制,但有一个功能限制。如果您已启用 Shield Platform Encryption 并想要部署软件包,您一次只能部署 80 个字段。如果您配置 80 个或更多字段进行加密,则必须分阶段部署软件包,每个阶段中的字段少于 80 个。 |
| 如果我可以看到加密的数据,Salesforce 支持代表是否也可以看到这些数据? | 是,如果他们有权访问对象、记录和字段。 |
| 由于打开数据库加密是永久性操作,如果我不续订订阅,会发生什么? | 如果您的 Salesforce Shield 或 Shield Platform Encryption 许可证过期,您将失去管理和轮换加密密钥材料的能力。Salesforce 不再保证数据库加密,并且更难在任何给定时间验证数据的加密状态。 |
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
