Esta página fornece instruções para criar uma instância do Memorystore for Redis Cluster que usa chaves de encriptação geridas pelo cliente (CMEK). Também fornece instruções para gerir instâncias que usam CMEK. Para mais informações sobre as CMEK para o Memorystore for Redis Cluster, consulte o artigo Acerca das chaves de encriptação geridas pelo cliente (CMEK).
Antes de começar
Certifique-se de que tem a função de administrador do Redis na sua conta de utilizador.
Fluxo de trabalho para criar uma instância que usa CMEK
Crie um conjunto de chaves e uma chave na localização onde quer que a instância do Memorystore for Redis Cluster esteja.
Copie ou anote o ID da chave (
KMS_KEY_ID), a localização da chave e o ID do conjunto de chaves (KMS_KEY_RING_ID). Precisa destas informações quando conceder à conta de serviço acesso à chave.Conceda à conta de serviço do Memorystore for Redis Cluster acesso à chave.
Aceda a um projeto e crie uma instância do Memorystore for Redis Cluster com a CMEK ativada na mesma região que o conjunto de chaves e a chave.
A sua instância do Memorystore for Redis Cluster está agora ativada com a CMEK.
Crie um conjunto de chaves e uma chave
Crie um conjunto de chaves e uma chave. Ambos têm de estar na mesma região que a instância do Memorystore for Redis Cluster. A chave pode ser de um projeto diferente, desde que esteja na mesma região. Além disso, a chave tem de usar o algoritmo de encriptação simétrica.
Conceda à conta de serviço do Memorystore for Redis Cluster acesso à chave
Antes de poder criar uma instância do Memorystore for Redis Cluster que use CMEK, tem de conceder acesso à chave a uma conta de serviço específica do Memorystore for Redis Cluster.
Para conceder acesso à conta de serviço, use o seguinte formato:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
gcloud
Para conceder à conta de serviço acesso à chave, use o comando gcloud kms keys add-iam-policy-binding. Substitua VARIABLES por valores adequados.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crie uma instância do Memorystore for Redis Cluster que use a CMEK
gcloud
Para criar uma instância que use CMEK, use o comando gcloud beta redis clusters
create. Substitua
VARIABLES pelos valores adequados.
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Veja informações importantes para uma instância com CMEK ativada
Siga estas instruções para ver se as CMEK estão ativadas para a sua instância e para ver a chave ativa.
gcloud
Para verificar se a CMEK está ativada e ver a referência da chave, use o comando gcloud redis clusters describe para ver os campos encryptionInfo e kmsKey. Substitua VARIABLES por valores adequados.
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Faça a gestão das versões das chaves
Para informações sobre o que acontece quando desativa, destrói, roda, ativa e restaura uma versão de chave, consulte o artigo Comportamento de uma versão de chave CMEK.
Para ver instruções sobre como desativar e reativar versões de chaves, consulte o artigo Ative e desative versões de chaves.
Para obter instruções sobre como destruir e restaurar versões de chaves, consulte o artigo Destrua e restaure versões de chaves.
O que se segue?
- Saiba mais sobre as cópias de segurança.
- Saiba mais acerca da persistência.