識別子フィールドレベルの暗号化
識別子フィールドレベルの暗号化を使用すると、AWS Key Management Service (KMS) を使用してメールアドレスをシームレスに暗号化し、Braze で共有される個人を特定できる情報 (PII) を最小限に抑えることができます。暗号化は機密データを暗号文に置き換えます。これは読み取れない暗号化された情報です。
識別子フィールドレベルの暗号化は、アドオン機能として利用できる。識別子フィールドレベルの暗号化を始めるには、Brazeアカウントマネージャーに連絡すること。
その仕組み
メールアドレスは、Brazeに追加される前にハッシュ化および暗号化される必要があります。メッセージが送信されると、復号化されたメールアドレスに対して AWS KMS への呼び出しが行われます。次に、ハッシュ化されたメールアドレスが配信およびエンゲージメントイベントのメタデータに挿入され、元のユーザーにリンクされます。これがBrazeがメール分析を追跡する方法です。Braze は含まれているプレーンテキストのメールアドレスを編集し、ユーザーのプレーンテキストのメールアドレスを保存しません。
前提条件
識別子フィールドレベルの暗号化を使用するには、メールアドレスを Braze に送信する前に、AWS KMS へアクセスして、メールアドレスを暗号化およびハッシュする必要があります。
次の手順に従って、AWSシークレットキー認証方法を設定します。
- アクセスキー ID とシークレットアクセスキーを取得するには、AWS Key Management Service のアクセス許可ポリシーを使用して AWS で IAM ユーザーと管理者グループを作成します。IAMユーザーはkms:Decryptおよびkms:GenerateMacの権限を持っている必要があります。詳細については、AWS KMS の権限を参照してください。
- ユーザーのセキュリティ認証情報を表示を選択して、アクセスキーIDとシークレットアクセスキーを表示します。これらの認証情報をどこかにメモするか、認証情報をダウンロードボタンを選択してください。AWS KMSキーに接続する際にこれらを入力する必要があります。
- 次のAWSリージョンでKMSを設定する必要があります:
- Braze US クラスター:
us-east-1
- Braze EU クラスター:
eu-central-1
- Braze US クラスター:
- AWS Key Management Service で2つのキーを作成し、IAM ユーザーがキー使用アクセス許可に追加されていることを確認します。
ステップ1:AWS KMS キーを接続する
Brazeのダッシュボードで、「データ設定」>「フィールドレベルの暗号化」と進む。AWS KMS 設定には、次の内容を入力してください:
- アクセスキーID
- シークレットアクセスキー
- HMACキーID(保存後に更新することはできません)
ステップ2:暗号化フィールドを選択する
次に、メールアドレスを選択してフィールドを暗号化します。
フィールドの暗号化がオンになっている場合、暗号化解除されたフィールドに戻すことはできない。これは暗号化が永久的な設定であることを意味します。メールアドレスの暗号化を設定する際、ワークスペースにメールアドレスを持つユーザーがいないことを確認してください。これにより、ワークスペースの機能を有効にするときに、プレーンテキストのメールアドレスが Braze に保存されないようになります。
ステップ3:インポートしてユーザーを更新する
識別子フィールドレベルの暗号化がオンになっている場合、Brazeに追加する前にメールアドレスをハッシュ化して暗号化する必要がある。ハッシュ化する前にメールアドレスを小文字にしてください。詳細については、ユーザー属性オブジェクトを参照してください。
Brazeでメールアドレスを更新する際は、email
が含まれている場所にはハッシュ化されたメールの値を使用する必要があります。これには以下が含まれます:
- RESTエンドポイント:
/users/track
/campaigns/trigger/send
/canvas/trigger/send
/transactional/v1/campaigns/{campaign_id}/send
- CSVを介してユーザーを追加または更新する
新しいユーザーを作成する際には、ユーザーの暗号化されたメールの値をemail_encrypted
に追加する必要があります。それ以外の場合、ユーザーは作成されません。同様に、メールアドレスを持っていない既存のユーザーにメールアドレスを追加する場合は、email_encrypted
を追加する必要があります。それ以外の場合、ユーザーは更新されません。
考慮事項
識別子フィールドレベルの暗号化では、これらの機能はサポートされない:
- SDKを介してメールアドレスを識別およびキャプチャする
- アプリ内メッセージメールキャプチャフォーム
- メールインサイトのメールボックスプロバイダーチャートを含む、受信者ドメインに関するレポート
- 正規表現によるメールアドレスフィルター
- オーディエンス同期
- Shopify統合
ユーザー属性オブジェクト
/users/track
エンドポイントで識別子フィールドレベルの暗号化を使用する場合、ユーザー属性オブジェクトのフィールドの詳細に注意してください:
email
フィールドはメールのハッシュ値でなければなりません。email_encrypted
フィールドはメールの暗号化された値でなければなりません。
よくある質問
暗号化とハッシュ化の違いは何ですか?
暗号化は、データを暗号化および復号化することが可能な双方向機能です。同じ平文の値が複数回暗号化された場合、AWSの暗号化アルゴリズム(AES-256-GCM)は異なる暗号化値を生成します。ハッシュ化は、平文が復号できない方法でスクランブルされる一方向関数です。ハッシュ化は毎回同じ値を生成します。これにより、同じメールアドレスを共有する複数のユーザー間でサブスクリプション状態を維持することができます。
テスト送信にどのメールアドレスを使用すればよいですか?
プレーンテキストのメールアドレスはテスト送信でサポートされています。特定のユーザーに対してメールがどのように表示されるかを確認するには、次の操作を行います。
- プレビュー メッセージをユーザーとして選択.
- [テスト送信] で、[受信者の属性を現在のプレビューユーザーの属性で上書きする] を選択します。
このメールアドレス Liquid {{${email_address}}}
を Braze に追加するとどうなりますか?
Brazeはメールを送信する際にプレーンテキストのメールアドレスをレンダリングします。プレビューでは、メールの暗号化されたバージョンを表示します。カスタムワンクリックURLでユーザーを参照する場合は、ユーザーのexternal IDを使用することをお勧めします。
{{${email_address}}}
は現在、ユーザー設定センターおよび配信停止ページではサポートされていません。
Currentsで確認するメールアドレスは何ですか?
ハッシュ化されたメールアドレスは、メール配信およびエンゲージメントイベントに含まれています。
メッセージアーカイブでどのメールアドレスを確認すればよいですか?
プレーンテキストのメールアドレスはメッセージングアーカイブに含まれています。これらは顧客のクラウドストレージプロバイダーに直接送信され、メール本文に他の個人データが含まれている場合があります。
識別子フィールドレベルの暗号化を使用したサブスクリプション管理にmail-to-list-unsubscribeを使用できるか?
いいえ。メール-toリスト-配信停止を使用すると、平文の復号化されたメールアドレスがBrazeに送信されます。識別子フィールドレベルの暗号化をオンにすると、ワンクリックを含むURLベースのHTTP:メソッドをサポートする。また、メール本文にワンクリックで配信停止できるリンクを含めることをお勧めします。
識別子フィールドレベルの暗号化は、電話などの他の識別子をサポートしているか?
いいえ。現時点では、識別子フィールドレベルの暗号化はメールアドレスでのみサポートされています。