主要な素材種別
Shield Platform Encryptionでは、テナントの秘密、またはルート鍵とDEK(データ暗号化鍵)で構成される鍵のペアを使用してデータを暗号化します。各種別の鍵素材は、Salesforce 内の特定のデータストアを対象とします。各種データを暗号化するテナントの秘密に、異なる鍵の循環サイクルまたは破棄ポリシーを適用できます。
必要なエディション
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
| 使用可能なエディション: Salesforce Shield または Shield Platform Encryption ライセンスが付属する Enterprise Edition、Performance Edition、および Unlimited Edition。 |
| Developer Edition で無料で使用できます。 |
メモ このコンテンツは、Shield Platform Encryption に関連します。「Implementing field-level encryption using Shield Extension in Own from Salesforce」を参照してください。
メモ このページは、従来の暗号化ではなく Shield Platform Encryption について書かれています。相違点
テナントの秘密の種別
テナントの秘密は、暗号化するデータの種類に応じて分類されます。
- 項目とファイル (確率的)
- 確率的暗号化スキームを使用してデータを暗号化します (項目、添付ファイル、および検索インデックスファイル以外のファイルのデータを含む)。
- 項目 (確定的)
- 確定的暗号化スキームを使用して項目データを暗号化する
- 検索インデックス
- 検索インデックスに保存されている暗号化ポリシーで管理されている項目やその他のデータを暗号化します。Hyperforce以外の組織、および更新された検索インデックス フレームワークをまだ使用していないHyperforce組織で使用できます。
- データベースの暗号化
- トランザクションデータベース内のすべてのデータを暗号化します。
- 分析
- CRM Analytics データを暗号化
- イベントバス
- イベントバスに一時的に保存されたイベントメッセージを暗号化します。変更データキャプチャイベントの場合、この秘密はデータ変更およびそれが含まれる対応するイベントを暗号化します。プラットフォームイベントの場合、この秘密はイベント項目データが含まれるイベントメッセージを暗号化します。
有効およびアーカイブされたテナントの秘密は種別ごとに最大 50 件まで使用できます。これには、テナントの秘密のアーキテクチャが異なるデータベース暗号化テナントの秘密は含まれません。たとえば、[項目とファイル (確率的)] のテナントの秘密については有効なテナントの秘密を 1 件、アーカイブされたテナントの秘密を 49 件使用でき、Analytics テナントの秘密も同じ数を使用できます。この制限には、Salesforce が生成した鍵素材と、顧客が指定した鍵素材が含まれます。
制限に達した場合、別の鍵を再度有効化、再度アーカイブ、またはコールアウトを作成するには、既存の鍵を破棄します。鍵を破棄する前に、有効な鍵で暗号化するデータを同期します。
ルート鍵とデータ暗号化鍵
一部の Salesforce データは、ルート鍵とデータ暗号化鍵 (DEK) のペアを使用して暗号化できます。
- AWS ルート鍵
- AWS KMS に保存され、Salesforce によって参照されるルート鍵で、Salesforce データの暗号化に使用される DEK を制御します。外部鍵管理が有効で、AWS KMS への接続が設定されている場合に利用できます。
- Data 360 ルートキー
- Data 360 内のデータの暗号化に使用される DEK をラップします。
- データ暗号化鍵 (DEK)
- データの暗号化に使用される鍵素材。DEK は、主キーとテナントの秘密を組み合わせて取得することも、ルートキーで作成することもできます。
- Salesforce ルートキー
- データの暗号化に使用する DEK を制御します。
- 検索インデックス DEK
- ルート鍵によって制御され、すべての検索インデックスが暗号化されます。更新された検索インデックス フレームワークを使用する Hyperforce 組織で使用できます。
この記事で問題は解決されましたか?
ご意見をお待ちしております。
