自带密钥 (BYOK)
在您提供自己的租户密码时,您会获取内置到 SalesforceShield Platform Encryption 的优势,以及来自专属管理租户密码的额外保险。
所需的 EDITION 和用户权限
作为插件订购适用于:Enterprise、Performance 和 Unlimited Edition。需要购买 Salesforce Shield。Developer Edition 免费适用于 Summer’15 和更高版本中创建的组织。 |
适用于 Salesforce Classic 和 Lightning Experience。 |
所需用户权限 | |
---|---|
生成、销毁、导出、导入并上载租户密码和客户提供的密钥材料: | “管理加密密钥”权限 |
通过 Shield Platform Encryption 自带密钥服务,编辑、上载和下载 HSM 保护的证书: | “管理加密密钥”权限 与 管理证书 与 自定义应用程序 |
控制您自己的租户密码需要联系 Salesforce 客户支持,以启用自带密钥,生成兼容 BYOK 的证书,使用该证书加密和保护自生成的租户密码,然后为租户密码授予 Salesforce Shield Platform Encryption 密钥管理机制访问权限。
- 自带密钥概览
是。您可在 Salesforce 外部使用自有加密库、企业密钥管理系统或硬件安全模块 (HSM) 生成并存储客户提供的密钥材料。然后,您会授予 SalesforceShield Platform Encryption 密钥管理机制对这些密钥的访问权限。您可以选择从子签名或 CA 签名证书使用公共密钥加密密钥。 - 生成兼容 BYOK 的证书
要使用自带密钥 (BYOK) 密钥材料对 Salesforce 中的数据进行加密,使用 Salesforce 生成 4096 位 RSA 证书。您可以生成自签名或证书机构 (CA) 签名的证书。每个兼容 BYOK 证书的私人密钥使用特定于组织的派生租户密码密钥加密。 - 生成和封装 BYOK 密钥材料
将随机数字生成为 BYOK 租户机密。然后,计算机密的 SHA256 散列,并使用来自您生成兼容 BYOK 证书的公开密钥进行加密。 - 生成 BYOK 租户密码的示例脚本
我们已提供帮助程序脚本,可让您轻松为上载准备租户密码。该脚本会为租户密码生成随意数字、计算密码的 SHA256 哈希,并使用证书中的公共密钥,以对密码进行加密。 - 上载 BYOK 租户机密
在您获得兼容 BYOK 的租户机密后,将其上载到 Salesforce。盾牌密钥管理服务 (KMS) 使用您的租户密码来派生您的组织特定的数据加密密钥。 - 借助 BYOK 选择退出密钥派生
如果您不需要 Shield 平台加密派生数据加密密钥,您可以选择退出密钥派生,并上载自己的最终数据加密密钥。通过选择退出,您甚至在用于加密和解密数据的密钥材料方面拥有更多控制权限。 - 妥善保管 BYOK 密钥
您在 Salesforce 外部创建并存储自己的密钥材料,重要的是您需要保护该密钥材料。请确保您有一个归档密钥材料的信任位置,请勿在硬盘上保存租户密码或数据加密密钥,而不进行任何备份。 - 对自带密钥进行故障排除
对于 Shield 平台加密自带密钥服务出现的任何问题,一个或多个常见问题解答可帮您进行故障排除。
另请参阅: