このセクションでは、自己管理の暗号化キー (BYOK) で推奨されるベスト プラクティスをいくつか紹介します。

  1. 必須モデル データが含まれていないワークスペースを特定するか、作成します。
  2. BYOK を使用して練習するワークスペースを暗号化します。
  3. ワークスペースの暗号化が無事完了したら、以下を実行します。
    1. 対象のワークスペース内のモデルに対してテストを実施する
    2. 同じ手順で本番ワークスペースを暗号化する
    3. 必要に応じて、開発ワークスペースを復号化する

使用中のワークスペースは暗号化できません。暗号化を開始する前に、ワークスペース内のどのモデルもユーザーが使用していないことを確認します。ワークスペースの状態が [Ready] になるまで暗号化を開始しないでください。

最初の暗号化は暗号化の適用と呼ばれ、オフラインで行われます。この暗号化にかかる時間を短縮するために、ワークスペースを最初に作成した時、又は大量のデータを読み込む前にワークスペースを暗号化することをおすすめします。暗号化後にワークスペース内のモデルに追加されたデータは自動的に暗号化されます。これをオンザフライの暗号化と言います。機密性の高いデータの場合は、ワークスペースの暗号化後に読み込む方がより安全です。

できるだけ早い段階で、暗号化管理者ロールに割り当てるユーザーを特定します。

テナント監査役ロールに割り当てるユーザーを特定します。

職務の分離を維持するため、暗号化管理者にはどのモデル データへのアクセス権も付与しないでください。

  • モデル権限がアクセスなしの暗号化管理者を、少なくとも一つのワークスペースに追加してください。
  • BYOK を初めて注文するときは暗号化管理者のメール アドレスをお客様担当者に知らせてください。
  • 暗号化管理者ロールには複数のユーザーを割り当てることをおすすめします。
  • 暗号化管理者ユーザーは自身が担当するテナントの他のユーザーに暗号化管理者ロールを割り当てたり、[Administration] の [Access Control] でロールを削除したりできます。「暗号化管理者の割り当て」を参照してください。

注記:  暗号化管理者ロールに割り当てることができるユーザーの数には制限があります。暗号化管理者の候補として Anaplan に送信されたユーザーだけが [Administration] の [Access Control] に表示されます。表示されないユーザーがいる場合は、ロールをアクセスなしにしてテナント内のワークスペースにユーザーを追加してから、Anaplan サポートに連絡して対象の暗号化管理者のリストにそれらのユーザーを追加するようリクエストしてください。

テナント監査役ロールは BYOK 監査ログにアクセスできます。暗号化管理者ロールに割り当てられる別のユーザーを指定することも、テナント管理者がユーザーをこのロールに割り当てることも可能です。一つ以上の Anaplan ワークスペースのユーザーをテナント監査役にする必要があります。モデル権限がアクセスなし のワークスペースが理想的です。

ワークスペースで暗号化または復号化の操作が無事完了して BYOK ステータスが変わったら、2 分待機してからそのワークスペースで他の操作を実行してください。こうすることで、後続のプロセスが完了し、想定外のエラーを防止できます。