Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Memorystore for Redis-Clusterinstanz, die vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwendet. Außerdem finden Sie hier eine Anleitung zum Verwalten von Instanzen, die CMEK verwenden. Weitere Informationen zu CMEK für Memorystore for Redis Cluster finden Sie unter Informationen zu vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK).
Hinweise
Sie benötigen die Rolle „Redis-Administrator“ für Ihr Nutzerkonto.
Workflow zum Erstellen einer Instanz, die CMEK verwendet
Erstellen Sie einen Schlüsselbund und einen Schlüssel an dem Ort, an dem sich die Memorystore for Redis Cluster-Instanz befinden soll.
Kopieren oder notieren Sie sich die Schlüssel-ID (
KMS_KEY_ID), den Speicherort des Schlüssels und die Schlüsselbund-ID (KMS_KEY_RING_ID). Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.Gewähren Sie dem Memorystore for Redis-Cluster-Dienstkonto Zugriff auf den Schlüssel.
Rufen Sie ein Projekt auf und erstellen Sie eine Memorystore for Redis-Clusterinstanz mit aktiviertem CMEK in derselben Region wie der Schlüsselbund und der Schlüssel.
Ihre Memorystore for Redis Cluster-Instanz ist jetzt mit CMEK aktiviert.
Schlüsselbund und Schlüssel erstellen
Erstellen Sie einen Schlüsselbund und einen Schlüssel. Beide müssen sich in derselben Region wie Ihre Memorystore for Redis-Clusterinstanz befinden. Der Schlüssel kann aus einem anderen Projekt stammen, sofern er sich in derselben Region befindet. Außerdem muss der Schlüssel den symmetrischen Verschlüsselungsalgorithmus verwenden.
Gewähren Sie dem Memorystore for Redis Cluster-Dienstkonto Zugriff auf den Schlüssel
Bevor Sie eine Memorystore for Redis Cluster-Instanz erstellen können, die CMEK verwendet, müssen Sie einem bestimmten Memorystore for Redis Cluster-Dienstkonto Zugriff auf den Schlüssel gewähren.
So gewähren Sie Zugriff auf das Dienstkonto:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
gcloud
Verwenden Sie den Befehl gcloud kms keys add-iam-policy-binding, um dem Dienstkonto Zugriff auf den Schlüssel zu gewähren. Ersetzen Sie VARIABLES durch die entsprechenden Werte.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Memorystore for Redis Cluster-Instanz erstellen, die CMEK verwendet
gcloud
Verwenden Sie den Befehl gcloud beta redis clusters
create, um eine Instanz zu erstellen, die CMEK verwendet. Ersetzen Sie VARIABLES durch die entsprechenden Werte.
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Wichtige Informationen für eine CMEK-fähige Instanz aufrufen
Folgen Sie dieser Anleitung, um zu prüfen, ob CMEK für Ihre Instanz aktiviert ist, und um den aktiven Schlüssel aufzurufen.
gcloud
Mit dem Befehl gcloud redis clusters describe können Sie prüfen, ob CMEK aktiviert ist, und die Schlüsselreferenz in den Feldern encryptionInfo und kmsKey aufrufen. Ersetzen Sie VARIABLES durch die entsprechenden Werte.
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Schlüsselversionen verwalten
Informationen dazu, was passiert, wenn Sie eine Schlüsselversion deaktivieren, löschen, rotieren, aktivieren und wiederherstellen, finden Sie unter Verhalten einer CMEK-Schlüsselversion.
Eine Anleitung zum Deaktivieren und Reaktivieren von Schlüsselversionen finden Sie unter Schlüsselversionen aktivieren und deaktivieren.
Eine Anleitung zum Löschen und Wiederherstellen von Schlüsselversionen finden Sie unter Schlüsselversionen löschen und wiederherstellen.