識別子フィールドレベルの暗号化

識別子フィールドレベルの暗号化を使用して、AWSキーマネージメントサービス（KMS）でメールアドレスをシームレスに暗号化し、Brazeで共有されたパーソナライズされた情報（PII）を最小限に抑えることができる。暗号化は機密データを暗号文に置き換えます。これは読み取れない暗号化された情報です。

important:

識別子フィールドレベルの暗号化は、アドオン機能として利用できる。識別子フィールドレベルの暗号化を始めるには、Brazeアカウントマネージャーに連絡すること。

その仕組み

メールアドレスは、Brazeに追加される前にハッシュ化および暗号化される必要があります。メッセージが送信されると、復号化されたメールアドレスに対して AWS KMS への呼び出しが行われます。次に、ハッシュ化されたメールアドレスが配信およびエンゲージメントイベントのメタデータに挿入され、元のユーザーにリンクされます。これがBrazeがメール分析を追跡する方法です。Braze は含まれているプレーンテキストのメールアドレスを編集し、ユーザーのプレーンテキストのメールアドレスを保存しません。

前提条件

識別子フィールドレベルの暗号化を使用するには、AWS KMSにアクセスし、メールアドレスを暗号化してハッシュ 化してからBrazeに送信する必要がある。

次の手順に従って、AWSシークレットキー認証方法を設定します。

アクセスキー ID とシークレットアクセスキーを取得するには、AWS Key Management Service のアクセス許可ポリシーを使用して AWS で IAM ユーザーと管理者グループを作成します。IAMユーザーはkms:Decryptおよびkms:GenerateMacの権限を持っている必要があります。詳細については、AWS KMS の権限を参照してください。
ユーザーのセキュリティ認証情報を表示を選択して、アクセスキーIDとシークレットアクセスキーを表示します。これらの認証情報をどこかにメモするか、認証情報をダウンロードボタンを選択してください。AWS KMSキーに接続する際にこれらを入力する必要があります。
次のAWSリージョンでKMSを設定する必要があります:
- Braze US クラスター: us-east-1
- Braze EU クラスター: eu-central-1
AWS Key Management Service で2つのキーを作成し、IAM ユーザーがキー使用アクセス許可に追加されていることを確認します。
- 暗号化/復号化:対称キータイプを選択し、暗号化と復号化キー使用法を選択します。
- ハッシュ:[対称] キータイプと [MAC の生成と検証] キー使用を選択します。キー仕様はHMAC_256であるべきです。キーを作成した後、HMAC キー ID をどこかにメモしておいてください。Braze で入力する必要があります。

ステップ1:AWS KMS キーを接続する

Brazeのダッシュボードで、「データ設定」>「フィールドレベルの暗号化」と進む。AWS KMS 設定には、次の内容を入力してください:

アクセスキーID
シークレットアクセスキー
HMACキーID（保存後に更新することはできません）

ステップ2:暗号化フィールドを選択する

次に、メールアドレスを選択してフィールドを暗号化します。

フィールドの暗号化がオンになっている場合、暗号化解除されたフィールドに戻すことはできない。これは暗号化が永久的な設定であることを意味します。メールアドレスの暗号化を設定する際、ワークスペースにメールアドレスを持つユーザーがいないことを確認してください。これにより、ワークスペースの機能をオンにしても、プレーンテキストのメールがBrazeに保存されることはない。

ステップ3:インポートしてユーザーを更新する

識別子フィールドレベルの暗号化がオンになっている場合、Brazeに追加する前にメールアドレスをハッシュ化して暗号化する必要がある。ハッシュ化する前にメールアドレスを小文字にしてください。詳細については、ユーザー属性オブジェクトを参照してください。

Brazeでメールアドレスを更新する際は、emailが含まれている場所にはハッシュ化されたメールの値を使用する必要があります。これには以下が含まれます:

RESTエンドポイント:
- /users/track
- /campaigns/trigger/send
- /canvas/trigger/send
- /transactional/v1/campaigns/{campaign_id}/send
CSVを介してユーザーを追加または更新する

note:

新しいユーザーを作成する際には、ユーザーの暗号化されたメールの値をemail_encryptedに追加する必要があります。それ以外の場合、ユーザーは作成されません。同様に、メールアドレスを持っていない既存のユーザーにメールアドレスを追加する場合は、email_encryptedを追加する必要があります。それ以外の場合、ユーザーは更新されません。

考慮事項

識別子フィールドレベルの暗号化では、これらの機能はサポートされない：

SDKを介してメールアドレスを識別およびキャプチャする
アプリ内メッセージメールキャプチャフォーム
メールインサイトのメールボックスプロバイダーチャートを含む、受信者ドメインに関するレポート
正規表現によるメールアドレスフィルター
オーディエンス同期
Shopify統合

ユーザー属性オブジェクト

/users/track 、エンドポイントで識別子フィールドレベルの暗号化を使用する場合、ユーザー属性オブジェクトのフィールドの詳細に注意すること：

emailフィールドはメールのハッシュ値でなければなりません。
email_encryptedフィールドはメールの暗号化された値でなければなりません。

よくある質問

暗号化とハッシュ化の違いは何ですか？

暗号化は、データを暗号化および復号化することが可能な双方向機能です。同じ平文の値が複数回暗号化された場合、AWSの暗号化アルゴリズム（AES-256-GCM）は異なる暗号化値を生成します。ハッシュ化は、平文が復号できない方法でスクランブルされる一方向関数です。ハッシュ化は毎回同じ値を生成します。これにより、同じメールアドレスを共有する複数のユーザー間でサブスクリプションの状態を維持することができる。

テスト送信にどのメールアドレスを使用すればよいですか？

プレーンテキストのメールアドレスはテスト送信でサポートされています。特定のユーザーに対してメールがどのように表示されるかを確認するには、次の操作を行います。

プレビューメッセージをユーザーとして選択.
[テスト送信] で、[受信者の属性を現在のプレビューユーザーの属性で上書きする] を選択します。

このメールアドレス Liquid `{{${email_address}}}` を Braze に追加するとどうなりますか？

Brazeはメールを送信する際にプレーンテキストのメールアドレスをレンダリングします。プレビューでは、メールの暗号化されたバージョンを表示します。カスタムワンクリックURLでユーザーを参照する場合は、ユーザーのexternal IDを使用することをお勧めします。

{{${email_address}}} は現在、ユーザー設定センターおよび配信停止ページではサポートされていません。

Currentsで確認するメールアドレスは何ですか？

ハッシュ化されたメールアドレスは、メール配信およびエンゲージメントイベントに含まれています。

メッセージアーカイブでどのメールアドレスを確認すればよいですか？

プレーンテキストのメールアドレスはメッセージングアーカイブに含まれています。これらは顧客のクラウドストレージプロバイダーに直接送信され、メール本文に他の個人データが含まれている場合があります。

識別子フィールドレベルの暗号化を使用したサブスクリプション管理にmail-to-list-unsubscribeを使用できるか?

いいえ。メール-toリスト-配信停止を使用すると、平文の復号化されたメールアドレスがBrazeに送信されます。識別子フィールドレベルの暗号化をオンにすると、ワンクリックを含むURLベースのHTTP:メソッドをサポートする。また、メール本文にワンクリックで配信停止できるリンクを含めることをお勧めします。