本頁面提供操作說明,協助您建立使用客戶自行管理的加密金鑰 (CMEK) 的 Memorystore for Redis Cluster 執行個體。此外,本頁面也提供管理使用 CMEK 的執行個體相關操作說明。如要進一步瞭解 Memorystore for Redis Cluster 的 CMEK,請參閱「關於客戶管理的加密金鑰 (CMEK)」。
事前準備
建立使用 CMEK 的執行個體的工作流程
複製或記下金鑰 ID (
KMS_KEY_ID)、金鑰位置和金鑰環 ID (KMS_KEY_RING_ID)。授予服務帳戶金鑰存取權時,您需要這些資訊。前往專案,並在與金鑰環和金鑰相同的地區,建立已啟用 CMEK 的 Memorystore for Redis Cluster 執行個體。
您的 Memorystore for Redis Cluster 執行個體現已啟用 CMEK。
建立金鑰環和金鑰
建立金鑰環和金鑰。 兩者都必須與 Memorystore for Redis 叢集執行個體位於相同區域。金鑰可以來自不同專案,只要金鑰位於相同區域即可。此外,金鑰必須使用對稱加密演算法。
授予 Memorystore for Redis Cluster 服務帳戶金鑰存取權
如要建立使用 CMEK 的 Memorystore for Redis Cluster 執行個體,您必須先授予特定 Memorystore for Redis Cluster 服務帳戶金鑰存取權。
如要授予服務帳戶存取權,請使用下列格式:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
gcloud
如要授予服務帳戶金鑰存取權,請使用 gcloud kms keys add-iam-policy-binding 指令。將 VARIABLES 改為適當的值。
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
建立使用 CMEK 的 Memorystore for Redis Cluster 執行個體
gcloud
如要建立使用 CMEK 的執行個體,請使用 gcloud beta redis clusters
create 指令。將 VARIABLES 改為適當的值。
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
查看已啟用 CMEK 的執行個體金鑰資訊
請按照下列操作說明,查看執行個體是否已啟用 CMEK,並檢視有效金鑰。
gcloud
如要確認是否已啟用 CMEK 並查看金鑰參照,請使用 gcloud redis clusters describe 指令查看 encryptionInfo 和 kmsKey 欄位。將 VARIABLES 取代為適當的值。
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
管理金鑰版本
如要瞭解停用、刪除、輪替、啟用及還原金鑰版本時會發生什麼情況,請參閱「CMEK 金鑰版本的行為」。
如需如何停用及重新啟用金鑰版本的操作說明,請參閱「啟用及停用金鑰版本」。
如要瞭解如何刪除及還原金鑰版本,請參閱「刪除與還原金鑰版本」一文。