使用客戶自行管理的加密金鑰 (CMEK)

本頁面提供操作說明，協助您建立使用客戶自行管理的加密金鑰 (CMEK) 的 Memorystore for Redis Cluster 執行個體。此外，本頁面也提供管理使用 CMEK 的執行個體相關操作說明。如要進一步瞭解 Memorystore for Redis Cluster 的 CMEK，請參閱「關於客戶管理的加密金鑰 (CMEK)」。

事前準備

1. 確認您的使用者帳戶具備 Redis 管理員角色。

   前往「IAM」頁面

建立使用 CMEK 的執行個體的工作流程

1. 在您要建立 Memorystore for Redis Cluster 執行個體的位置，建立金鑰環和金鑰。

2. 複製或記下金鑰 ID (KMS_KEY_ID)、金鑰位置和金鑰環 ID (KMS_KEY_RING_ID)。授予服務帳戶金鑰存取權時，您需要這些資訊。

3. 授予 Memorystore for Redis Cluster 服務帳戶金鑰存取權。

4. 前往專案，並在與金鑰環和金鑰相同的地區，建立已啟用 CMEK 的 Memorystore for Redis Cluster 執行個體。

您的 Memorystore for Redis Cluster 執行個體現已啟用 CMEK。

建立金鑰環和金鑰

建立金鑰環和金鑰。 兩者都必須與 Memorystore for Redis 叢集執行個體位於相同區域。金鑰可以來自不同專案，只要金鑰位於相同區域即可。此外，金鑰必須使用對稱加密演算法。

授予 Memorystore for Redis Cluster 服務帳戶金鑰存取權

如要建立使用 CMEK 的 Memorystore for Redis Cluster 執行個體，您必須先授予特定 Memorystore for Redis Cluster 服務帳戶金鑰存取權。

如要授予服務帳戶存取權，請使用下列格式：

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

建立使用 CMEK 的 Memorystore for Redis Cluster 執行個體

gcloud beta redis clusters create INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID \
--network=NETWORK \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \
--shard-count=SHARD_NUMBER \
--persistence-mode=PERSISTENCE_MODE

查看已啟用 CMEK 的執行個體金鑰資訊

請按照下列操作說明，查看執行個體是否已啟用 CMEK，並檢視有效金鑰。

gcloud redis clusters describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

管理金鑰版本

如要瞭解停用、刪除、輪替、啟用及還原金鑰版本時會發生什麼情況，請參閱「CMEK 金鑰版本的行為」。

如需如何停用及重新啟用金鑰版本的操作說明，請參閱「啟用及停用金鑰版本」。

如要瞭解如何刪除及還原金鑰版本，請參閱「刪除與還原金鑰版本」一文。

後續步驟

• 進一步瞭解備份。
• 進一步瞭解持續性。