在您提供自己的租戶密碼時,您會獲取內建到 salesforceshield platform encryption 的優勢,以及來自專屬管理租戶密碼的額外保險。
作為外掛程式訂購適用於:enterprise、performance和unlimitededition。需要購買 salesforce shield。developeredition 免費適用於 summer』15 和更高版本中建立的組織。
適用於 salesforce classic 和 lightning experience。
所需使用者許可權
生成、銷毀、匯出、匯入並上載租戶密碼和客戶提供的金鑰材料:
「管理加密金鑰」許可權
「管理加密金鑰」許可權
與管理證書
與自定義應用程式
控制您自己的租戶密碼需要聯絡 salesforce 客戶支援,以啟用自帶金鑰,生成相容 byok 的證書,使用該證書加密和保護自生成的租戶密碼,然後為租戶密碼授予 salesforce shield platform encryption 金鑰管理機制訪問許可權。
自帶金鑰概覽
是。您可在 salesforce 外部使用自有加密庫、企業金鑰管理系統或硬體安全模組 (hsm) 生成並儲存客戶提供的金鑰材料。然後,您會授予 salesforceshield platform encryption 金鑰管理機制對這些金鑰的訪問許可權。您可以選擇從子簽名或 ca 簽名證書使用公共金鑰加密金鑰。
生成相容 byok 的證書
要使用自帶金鑰 (byok) 金鑰材料對 salesforce 中的資料進行加密,使用 salesforce 生成 4096 位 rsa 證書。您可以生成自簽名或證書機構 (ca) 簽名的證書。每個相容 byok 證書的私人金鑰使用特定於組織的派生租戶密碼金鑰加密。
生成和封裝 byok 金鑰材料
將隨機數字生成為 byok 租戶機密。然後,計算機密的 sha256 雜湊,並使用來自您生成相容 byok 證書的公開金鑰進行加密。
生成 byok 租戶密碼的示例指令碼
上載 byok 租戶機密
在您獲得相容 byok 的租戶機密後,將其上載到 salesforce。盾牌金鑰管理服務 (kms) 使用您的租戶密碼來派生您的組織特定的資料加密金鑰。
借助 byok 選擇退出金鑰派生
如果您不需要 shield 平台加密派生資料加密金鑰,您可以選擇退出金鑰派生,並上載自己的最終資料加密金鑰。通過選擇退出,您甚至在用於加密和解密資料的金鑰材料方面擁有更多控制許可權。
妥善保管 byok 金鑰
您在 salesforce 外部建立並儲存自己的金鑰材料,重要的是您需要保護該金鑰材料。請確保您有乙個歸檔金鑰材料的信任位置,請勿在硬碟上儲存租戶密碼或資料加密金鑰,而不進行任何備份。
對自帶金鑰進行故障排除
對於 shield 平台加密自帶金鑰服務出現的任何問題,乙個或多個常見問題解答可幫您進行故障排除。
另請參閱:
什麼是主金鑰 工作金鑰 會話金鑰 PIN金鑰?
主秘鑰,即 terminal master key tmk,主要作用是用來驗證工作秘鑰是否合法,以及加密tpk 終端pin金鑰 保證tpk在傳輸線路上的安全性。一般情況下是人工在pos設定或者通過ic卡匯入,tmk被寫入金鑰保護晶元,也就是我們說的se,其具有開機程式自毀功能,能很好的保護tmk的安...
公有金鑰 私有金鑰加密
如果你的朋友給你傳送了一封郵件,老朋友多日未見說了些寒暄的話,最後你的朋友又來了一句,今天晚上六點我請你到北京飯店吃飯吧,怎麼樣?你可能對這句話比較懷疑,這小子今天頭腦是不是有問題?在看看這封郵件的位址,還真是他的郵件位址,但認識這小子很多年了,從來沒請我吃過飯。今天?一連串的問號在你的頭腦中。如果...
公有金鑰 私有金鑰加密
如果你的朋友給你傳送了一封郵件,老朋友多日未見說了些寒暄的話,最後你的朋友又來了一句,今天晚上六點我請你到北京飯店吃飯吧,怎麼樣?你可能對這句話比較懷疑,這小子今天頭腦是不是有問題?在看看這封郵件的位址,還真是他的郵件位址,但認識這小子很多年了,從來沒請我吃過飯。今天?一連串的問號在你的頭腦中。如果...