自带密钥 (BYOK)

自带密钥 (BYOK)

在您提供自己的租户密码时，您会获取内置到 SalesforceShield Platform Encryption 的优势，以及来自专属管理租户密码的额外保险。

所需的 EDITION 和用户权限

作为插件订购适用于：Enterprise、Performance 和 Unlimited Edition。需要购买 Salesforce Shield。Developer Edition 免费适用于 Summer’15 和更高版本中创建的组织。

适用于 Salesforce Classic 和 Lightning Experience。

 

所需用户权限
生成、销毁、导出、导入并上载租户密码和客户提供的密钥材料：	“管理加密密钥”权限
通过 Shield Platform Encryption 自带密钥服务，编辑、上载和下载 HSM 保护的证书：	“管理加密密钥”权限 与 管理证书 与 自定义应用程序

控制您自己的租户密码需要联系 Salesforce 客户支持，以启用自带密钥，生成兼容 BYOK 的证书，使用该证书加密和保护自生成的租户密码，然后为租户密码授予 Salesforce Shield Platform Encryption 密钥管理机制访问权限。

1. 自带密钥概览
   是。您可在 Salesforce 外部使用自有加密库、企业密钥管理系统或硬件安全模块 (HSM) 生成并存储客户提供的密钥材料。然后，您会授予 SalesforceShield Platform Encryption 密钥管理机制对这些密钥的访问权限。您可以选择从子签名或 CA 签名证书使用公共密钥加密密钥。
2. 生成兼容 BYOK 的证书
   要使用自带密钥 (BYOK) 密钥材料对 Salesforce 中的数据进行加密，使用 Salesforce 生成 4096 位 RSA 证书。您可以生成自签名或证书机构 (CA) 签名的证书。每个兼容 BYOK 证书的私人密钥使用特定于组织的派生租户密码密钥加密。
3. 生成和封装 BYOK 密钥材料
   将随机数字生成为 BYOK 租户机密。然后，计算机密的 SHA256 散列，并使用来自您生成兼容 BYOK 证书的公开密钥进行加密。
4. 生成 BYOK 租户密码的示例脚本
   我们已提供帮助程序脚本，可让您轻松为上载准备租户密码。该脚本会为租户密码生成随意数字、计算密码的 SHA256 哈希，并使用证书中的公共密钥，以对密码进行加密。
5. 上载 BYOK 租户机密
   在您获得兼容 BYOK 的租户机密后，将其上载到 Salesforce。盾牌密钥管理服务 (KMS) 使用您的租户密码来派生您的组织特定的数据加密密钥。
6. 借助 BYOK 选择退出密钥派生
   如果您不需要 Shield 平台加密派生数据加密密钥，您可以选择退出密钥派生，并上载自己的最终数据加密密钥。通过选择退出，您甚至在用于加密和解密数据的密钥材料方面拥有更多控制权限。
7. 妥善保管 BYOK 密钥
   您在 Salesforce 外部创建并存储自己的密钥材料，重要的是您需要保护该密钥材料。请确保您有一个归档密钥材料的信任位置，请勿在硬盘上保存租户密码或数据加密密钥，而不进行任何备份。
8. 对自带密钥进行故障排除
   对于 Shield 平台加密自带密钥服务出现的任何问题，一个或多个常见问题解答可帮您进行故障排除。

另请参阅：

• 密钥管理和轮换