Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Redis Cluster yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Dokumen ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk mengetahui informasi selengkapnya tentang CMEK untuk Memorystore for Redis Cluster, lihat Tentang kunci enkripsi yang dikelola pelanggan (CMEK).
Sebelum memulai
Pastikan Anda memiliki peran Admin Redis di akun pengguna Anda.
Alur kerja untuk membuat instance yang menggunakan CMEK
Buat key ring dan kunci di lokasi tempat Anda ingin instance Memorystore for Redis Cluster berada.
Salin atau tulis ID kunci (
KMS_KEY_ID), lokasi kunci, dan ID KeyRing (KMS_KEY_RING_ID). Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.Beri akun layanan Memorystore for Redis Cluster akses ke kunci.
Buka project dan buat instance Memorystore for Redis Cluster dengan CMEK diaktifkan di region yang sama dengan key ring dan kunci.
Instance Memorystore for Redis Cluster Anda kini diaktifkan dengan CMEK.
Membuat key ring dan kunci
Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan instance Memorystore for Redis Cluster Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.
Memberi akun layanan Memorystore for Redis Cluster akses ke kunci
Sebelum dapat membuat instance Memorystore for Redis Cluster yang menggunakan CMEK, Anda harus memberikan akses akun layanan Memorystore for Redis Cluster tertentu ke kunci.
Untuk memberikan akses ke akun layanan, gunakan format berikut:
service-[PROJECT-NUMBER]@cloud-redis.
gcloud
Untuk memberikan akses akun layanan ke kunci, gunakan perintah gcloud kms keys add-iam-policy-binding. Ganti VARIABLES dengan nilai yang sesuai.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis. \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Membuat instance Memorystore for Redis Cluster yang menggunakan CMEK
gcloud
Untuk membuat instance yang menggunakan CMEK, gunakan perintah gcloud beta redis clusters
create. Ganti
VARIABLES dengan nilai yang sesuai.
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Melihat informasi penting untuk instance yang mendukung CMEK
Ikuti petunjuk ini untuk melihat apakah CMEK diaktifkan untuk instance Anda, dan untuk melihat kunci aktif.
gcloud
Untuk memverifikasi apakah CMEK diaktifkan dan untuk melihat referensi kunci, gunakan perintah gcloud redis clusters describe untuk melihat kolom encryptionInfo dan kmsKey. Ganti VARIABLES dengan nilai yang sesuai.
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Mengelola versi kunci
Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.
Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.
Untuk mengetahui petunjuk tentang cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Langkah berikutnya
- Pelajari pencadangan lebih lanjut.
- Pelajari lebih lanjut persistensi.