Nesta página, descrevemos como as chaves de criptografia gerenciadas pelo cliente (CMEK) funcionam com o Memorystore para Redis. Para usar esse recurso imediatamente, consulte Como usar chaves de criptografia gerenciadas pelo cliente (CMEK).
Uma CMEK é ideal para mim?
As chaves de criptografia gerenciadas pelo cliente são destinadas a organizações com dados confidenciais ou regulamentados que exigem o gerenciamento das próprias chaves de criptografia.
Criptografia gerenciada pelo Google e criptografia gerenciada pelo cliente
Com o recurso de CMEK, você usa as próprias chaves criptográficas nos dados em repouso no Memorystore para Redis. Depois de adicionar chaves de criptografia gerenciadas pelo cliente, sempre que uma chamada de API for feita, o Memorystore vai usar a chave para acessar os dados.
O Memorystore usa chaves de criptografia de dados (DEK, na sigla em inglês) e chaves de criptografia de chaves (KEK, na sigla em inglês) gerenciadas pelo Google para criptografar o Memorystore para Redis. Há dois níveis de criptografia:
- A DEK criptografa os dados.
- A KEK criptografa a DEK.
A instância do Memorystore armazena a DEK criptografada com os dados criptografados no DP, e o Google gerencia a KEK. Com as chaves de criptografia gerenciadas pelo cliente, você cria uma chave que encapsula a KEK do Google. As chaves de criptografia gerenciadas pelo cliente permitem criar, revogar e excluir a KEK.
As chaves de criptografia gerenciadas pelo cliente são gerenciadas pela API Cloud Key Management Service.
Os diagramas abaixo mostram como a criptografia de dados em repouso funciona em uma instância do Memorystore ao usar a criptografia padrão do Google em vez das chaves de criptografia gerenciadas pelo cliente.
Sem CMEK
Com a CMEK
Ao descriptografar dados agrupados com chaves de criptografia gerenciadas pelo cliente, o Memorystore usa a KEK para descriptografar a DEK e a DEK não criptografada para descriptografar dados em repouso.
Quando o Memorystore interage com chaves CMEK?
| Operação | Descrição |
|---|---|
| criação de instância | Durante a criação da instância, você a configura para usar chaves de criptografia gerenciadas pelo cliente. |
| Atualização da instância | O Memorystore verifica a chave CMEK durante as atualizações de uma instância ativada para CMEK. |
Quais dados são criptografados usando o CMEK?
O CMEK criptografa os seguintes tipos de dados:
- Dados do cliente armazenados em armazenamento permanente.
- Metadados relacionados a recursos de segurança, como AUTH e criptografia em trânsito.
Sobre contas de serviço
Ao criar uma instância com a CMEK, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço do Memorystore com o seguinte formato:
service-[PROJECT_NUMBER]@cloud-redis.iam.gserviceaccount.com
A concessão dessa permissão permite que a conta de serviço solicite o acesso à chave do Cloud KMS.
Para instruções sobre como conceder essa permissão à conta de serviço, consulte Como conceder à conta de serviço acesso à chave.
Sobre as chaves
No Cloud KMS, é preciso criar um keyring com uma chave criptográfica que use um algoritmo de criptografia/descriptografia simétrica. Ao criar uma nova instância do Memorystore, selecione essa chave para criptografar a instância. É possível criar um projeto para ambas as chaves e instâncias do Memorystore ou projetos diferentes para cada uma delas.
O CMEK está disponível em todos os locais de instância do Memorystore. A chave e a região do chaveiro precisam ser definidas como a mesma região da instância do Memorystore para Redis. Uma chave de região global ou de várias regiões não funciona. Uma solicitação para criar uma instância do Memorystore falhará se as regiões não corresponderem.
O CMEK para o Memorystore é compatível com o Gerenciador de chaves externo do Cloud (Cloud EKM).
As chaves de criptografia gerenciadas pelo cliente têm o formato a seguir:
projects/[CMEK_ENABLED_PROJECT]/locations/[REGION]/keyRings/[RING_NAME]/cryptoKeys/[KEYNAME]
Se o Memorystore não conseguir acessar nenhuma versão de chave que esteja sendo usada (por exemplo, se você desativar a versão da chave), ele encerrará a instância sem demora. No console do Google Cloud , uma instância suspensa mostra um indicador de ferramentas de ponto de exclamação vermelho na página Instâncias. Quando você passa o cursor sobre a dica, a mensagem "Sem estado" aparece. Quando a chave ficar acessível novamente, o Memorystore retoma automaticamente a instância.
Como tornar os dados criptografados com CMEK permanentemente inacessíveis?
Pode haver casos em que você precise destruir permanentemente os dados criptografados com CMEK. Para isso, destrua a versão da chave de criptografia gerenciada pelo cliente. Não é possível destruir o keyring ou a chave, mas você pode destruir versões da chave.
Como exportar e importar dados de/para uma instância ativada para CMEK?
Se você quiser que os dados permaneçam criptografados com uma chave gerenciada pelo cliente durante uma importação ou exportação, será necessário definir uma chave de criptografia gerenciada pelo cliente no bucket do Cloud Storage antes de exportar dados para ele.
Não há requisitos ou restrições especiais para importar dados para uma nova instância do Memorystore quando os dados foram armazenados anteriormente em uma instância do Memorystore ativada para CMEK.
Comportamento de destruição/desativação de uma versão da chave CMEK
Se você quiser garantir que não haja acesso aos dados da sua instância, desative a versão da chave primária da chave de criptografia gerenciada pelo cliente. Isso encerra a instância sem demora. Além disso, o Memorystore encerra uma instância sem demora se qualquer chave de criptografia gerenciada pelo cliente em uso for desativada/destruída. Isso inclui qualquer versão de chave mais antiga que ainda esteja sendo usada por uma instância do Memorystore. É possível usar o gcloud ou o console do Google Cloud para saber se a instância está suspensa:
No console do Google Cloud , se a instância estiver suspensa, você verá uma notificação de dica vermelha ao lado dela na página Instâncias do Memorystore para Redis. A dica de ferramenta mostra "Sem estado" quando o cursor passa por ela.
No gcloud, se você executar gcloud beta redis instances describe e não
encontrar state: READY, state: REPAIRING ou qualquer outro estado nos metadados
da instância, isso significa que a instância está suspensa.
Reativação/restauração de uma versão da chave CMEK em uso
Uma instância é desocultada após reativar/restaurar uma versão da chave CMEK em uso.
Restrições
As restrições a seguir se aplicam ao usar chaves de criptografia gerenciadas pelo cliente com o Memorystore:
- Não é possível ativar chaves de criptografia gerenciadas pelo cliente em uma instância do Memorystore.
- A região da chave, do chaveiro e da instância do Memorystore precisa ser a mesma.
- É necessário usar o algoritmo de criptografia/descriptografia simétrica para a chave.
- As taxas de criptografia e descriptografia do Cloud KMS estão sujeitas a uma cota.
Políticas da organização de CMEK
O Memorystore para Redis oferece suporte a restrições de política da organização que podem ser usadas para proteção CMEK.
As políticas podem limitar quais chaves do Cloud KMS podem ser usadas para proteção CMEK.
Quando a API Memorystore para Redis está na lista de políticas
Denydos serviços na restriçãoconstraints/gcp.restrictNonCmekServices, a criação do Memorystore para Redis falha em instâncias não protegidas por CMEK.Quando
constraints/gcp.restrictCmekCryptoKeyProjectsé configurado, o Memorystore para Redis cria instâncias protegidas por CMEK que são criptografadas usando uma chave de um projeto, pasta ou organização permitido.
Para saber mais sobre como configurar as políticas da organização de CMEK, consulte Políticas da organização de CMEK.