Salesforce セキュリティガイド
jBYOK テナントの秘密のアップロード
BYOK 互換のテナントの秘密が生成されたら、Salesforce にアップロードします。Shield 鍵管理サービス (KMS) では、テナントの秘密を使用して組織固有のデータ暗号化鍵を派生させます。
| アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。 |
| Salesforce Classic および Lightning Experience の両方で使用できます。 |
| 必要なユーザ権限 | |
|---|---|
| テナントの秘密および顧客が指定した鍵素材を生成、破棄、エクスポート、インポート、アップロードする |
「暗号化鍵の管理」 |
- [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[鍵の管理] を選択します。
- [Bring Your Own Key] をクリックします。
-
[テナントの秘密をアップロード] セクションで、暗号化された鍵素材とハッシュされたプレーンテキストの鍵素材の両方を添付します。[アップロード] をクリックします。
このテナントの秘密は自動的に有効なテナントの秘密になります。
これで、テナントの秘密を鍵の派生に使用する準備ができました。これ以降、Shield KMS はテナントの秘密を使用して組織固有のデータ暗号化鍵を派生させます。アプリケーションサーバはこの鍵を使用してユーザのデータを暗号化および復号化します。
データ暗号化鍵の派生を望まない場合は、鍵派生を除外し、独自に最終的なデータ暗号化鍵をアップロードできます。詳細は、Salesforce ヘルプの「BYOK を使用した鍵派生の除外」を参照してください。
-
テナントの秘密をエクスポートし、組織のセキュリティポリシーで規定された方法でバックアップします。
破棄されたテナントの秘密を復元するには、再インポートします。エクスポートされたテナントの秘密は、アップロードしたテナントの秘密とは異なります。異なる鍵で暗号化されていて、追加のメタデータが埋め込まれています。Salesforce ヘルプの「テナントの秘密のバックアップ」を参照してください。