このセクションでは、自己管理の暗号化キー (BYOK) で推奨されるベスト プラクティスをいくつか紹介します。
開発ワークスペース
- 必須モデル データが含まれていないワークスペースを特定するか、作成します。
- BYOK を使用して練習するワークスペースを暗号化します。
- ワークスペースの暗号化が無事完了したら、以下を実行します。
- 対象のワークスペース内のモデルに対してテストを実施する
- 同じ手順で本番ワークスペースを暗号化する
- 必要に応じて、開発ワークスペースを復号化する
ワークスペースが使用中ではないことを確認する
使用中のワークスペースは暗号化できません。暗号化を開始する前に、ワークスペース内のどのモデルもユーザーが使用していないことを確認します。ワークスペースの状態が [Ready] になるまで暗号化を開始しないでください。
データが読み込まれる前に暗号化する
最初の暗号化は暗号化の適用と呼ばれ、オフラインで行われます。この暗号化にかかる時間を短縮するために、ワークスペースを最初に作成した時、又は大量のデータを読み込む前にワークスペースを暗号化することをおすすめします。暗号化後にワークスペース内のモデルに追加されたデータは自動的に暗号化されます。これをオンザフライの暗号化と言います。機密性の高いデータの場合は、ワークスペースの暗号化後に読み込む方がより安全です。
主要なロールのユーザーを特定する
できるだけ早い段階で、暗号化管理者ロールに割り当てるユーザーを特定します。
テナント監査役ロールに割り当てるユーザーを特定します。
暗号化管理者ロール
職務の分離を維持するため、暗号化管理者にはどのモデル データへのアクセス権も付与しないでください。
- モデル権限がアクセスなしの暗号化管理者を、少なくとも一つのワークスペースに追加してください。
- BYOK を初めて注文するときは暗号化管理者のメール アドレスをお客様担当者に知らせてください。
- 暗号化管理者ロールには複数のユーザーを割り当てることをおすすめします。
- 暗号化管理者ユーザーは自身が担当するテナントの他のユーザーに暗号化管理者ロールを割り当てたり、[Administration] の [Access Control] でロールを削除したりできます。「暗号化管理者の割り当て」を参照してください。
注記: 暗号化管理者ロールに割り当てることができるユーザーの数には制限があります。暗号化管理者の候補として Anaplan に送信されたユーザーだけが [Administration] の [Access Control] に表示されます。表示されないユーザーがいる場合は、ロールをアクセスなしにしてテナント内のワークスペースにユーザーを追加してから、Anaplan サポートに連絡して対象の暗号化管理者のリストにそれらのユーザーを追加するようリクエストしてください。
テナント監査役ロール
テナント監査役ロールは BYOK 監査ログにアクセスできます。暗号化管理者ロールに割り当てられる別のユーザーを指定することも、テナント管理者がユーザーをこのロールに割り当てることも可能です。一つ以上の Anaplan ワークスペースのユーザーをテナント監査役にする必要があります。モデル権限がアクセスなし のワークスペースが理想的です。
待機
ワークスペースで暗号化または復号化の操作が無事完了して BYOK ステータスが変わったら、2 分待機してからそのワークスペースで他の操作を実行してください。こうすることで、後続のプロセスが完了し、想定外のエラーを防止できます。
