Cette page décrit le fonctionnement des clés de chiffrement gérées par le client (CMEK) avec Memorystore pour Redis. Pour utiliser cette fonctionnalité immédiatement, consultez la page Utiliser des clés de chiffrement gérées par le client (CMEK).
La fonctionnalité CMEK est-elle adaptée à mes besoins ?
Les clés de chiffrement gérées par le client sont destinées aux organisations qui traitent des données sensibles ou réglementées pour lesquelles elles doivent gérer leurs propres clés de chiffrement.
Chiffrement géré par Google et chiffrement géré par le client
La fonctionnalité CMEK vous permet d'utiliser vos propres clés cryptographiques pour les données au repos dans Memorystore pour Redis. Après avoir ajouté des clés de chiffrement gérées par le client, Memorystore utilise votre clé pour accéder aux données chaque fois qu'un appel d'API est effectué.
Memorystore chiffre les données à l'aide des clés de chiffrement de données (DEK) et des clés de chiffrement de clés (KEK) gérées par Google. Il existe deux niveaux de chiffrement :
- La clé DEK chiffre les données.
- La clé KEK chiffre la clé DEK.
L'instance Memorystore stocke la clé DEK chiffrée ainsi que les données chiffrées sur le disque persistant, et Google gère la clé KEK Google. Avec les clés de chiffrement gérées par le client, vous créez une clé qui encapsule la clé KEK Google. Les clés de chiffrement gérées par le client vous permettent de créer, de révoquer et de supprimer la clé KEK.
Les clés de chiffrement gérées par le client sont gérées via l'API Cloud Key Management Service.
Les schémas ci-dessous montrent le fonctionnement du chiffrement des données au repos dans une instance Memorystore lorsque vous utilisez le chiffrement Google par défaut par rapport aux clés de chiffrement gérées par le client.
Sans CMEK
Avec CMEK
Lors du déchiffrement des données encapsulées avec des clés de chiffrement gérées par le client, Memorystore utilise la KEK pour déchiffrer la DEK et la DEK non chiffrée pour déchiffrer les données au repos.
Quand Memorystore interagit-il avec les clés CMEK ?
Operation | Description |
---|---|
Création d'une instance | Lors de la création de l'instance, vous la configurez pour utiliser des clés de chiffrement gérées par le client. |
Mise à jour d'une instance | Memorystore vérifie la clé CMEK lors des mises à jour d'une instance pour laquelle CMEK est activé. |
Quelles données sont chiffrées à l'aide de CMEK ?
CMEK chiffre les types de données suivants:
- Données client stockées dans un espace de stockage persistant.
- Métadonnées associées à des fonctionnalités de sécurité telles que AUTH et le chiffrement en transit.
À propos des comptes de service
Lorsque vous créez une instance avec CMEK, vous devez attribuer le rôle cloudkms.cryptoKeyEncrypterDecrypter au compte de service Memorystore au format suivant:
service-[PROJECT_NUMBER]@cloud-redis.iam.gserviceaccount.com
Accorder cette autorisation permet au compte de service de demander un accès par clé à Cloud KMS.
Pour savoir comment accorder cette autorisation au compte de service, consultez Accorder au compte de service l'accès à la clé.
À propos des clés
Dans Cloud KMS, vous devez créer un trousseau avec une clé cryptographique utilisant un algorithme de chiffrement/déchiffrement symétrique. Lorsque vous créez une instance Memorystore, vous sélectionnez cette clé pour chiffrer l'instance. Vous pouvez créer un projet pour les clés et les instances Memorystore, ou un projet différent pour chacune d'elles.
CMEK est disponible dans tous les emplacements d'instances Memorystore. La région de la clé et du trousseau de clés doit être définie sur celle de l'instance Memorystore pour Redis. Une clé multirégionale ou globale ne fonctionne pas. Une requête de création d'instance Memorystore échoue si les régions ne correspondent pas.
CMEK pour Memorystore n'est actuellement pas compatible avec Cloud External Key Manager (Cloud EKM).
Les clés de chiffrement gérées par le client utilisent le format suivant :
projects/[CMEK_ENABLED_PROJECT]/locations/[REGION]/keyRings/[RING_NAME]/cryptoKeys/[KEYNAME]
Si Memorystore ne parvient pas à accéder à une version de clé en cours d'utilisation (par exemple, si vous la désactivez), Memorystore arrête l'instance sans délai. Dans Google Cloud Console, une instance suspendue affiche une info-bulle de point d'exclamation rouge sur la page Instances. Lorsque vous passez la souris sur l'info-bulle, le message "Aucun état" s'affiche. Lorsque la clé redevient accessible, Memorystore réactive automatiquement l'instance.
Comment rendre les données chiffrées par CMEK définitivement inaccessibles ?
Vous pouvez être amené à détruire définitivement des données chiffrées avec CMEK. Cette opération implique de supprimer la version correspondante de la clé de chiffrement gérée par le client. Vous ne pouvez pas détruire le trousseau ou la clé, mais vous pouvez supprimer les versions de la clé.
Comment exporter et importer des données depuis et vers une instance utilisant CMEK ?
Si vous souhaitez que vos données restent chiffrées avec une clé gérée par le client lors d'une importation ou exportation, vous devez définir une clé de chiffrement gérée par le client sur le bucket Cloud Storage avant de les exporter.
Il n'existe pas d'exigences ni de restrictions particulières pour l'importation de données dans une nouvelle instance Memorystore lorsque celles-ci étaient précédemment stockées sur une instance Memorystore pour laquelle CMEK est activé.
Comportement de destruction/désactivation d'une version de clé CMEK
Si vous souhaitez vous assurer qu'aucun accès aux données de votre instance n'est autorisé, vous pouvez désactiver la version de clé primaire de votre clé de chiffrement gérée par le client. Cela permet d'arrêter votre instance sans délai. De plus, Memorystore arrête une instance sans délai si une clé de chiffrement gérée par le client en cours d'utilisation est désactivée/détruite. Cela inclut toute version de clé plus ancienne encore utilisée par une instance Memorystore. Vous pouvez vérifier si votre instance est suspendue à l'aide de gcloud ou de Google Cloud Console:
Si Google Cloud Console est suspendu, une notification d'info-bulle rouge s'affiche à côté de votre instance sur la page Instances de Memorystore pour Redis. L'info-bulle affiche le message "Aucun état" lorsque votre curseur passe dessus.
Pour gcloud, si vous exécutez gcloud beta redis instances describe
et que vous ne voyez pas state: READY
, state: REPAIRING
ni aucun autre état dans les métadonnées de l'instance, cela signifie que votre instance est suspendue.
Réactiver/Restaurer une version de clé CMEK en cours d'utilisation
Une instance est affichée après la réactivation/restauration d'une version de clé CMEK en cours d'utilisation.
Restrictions
Les restrictions suivantes s'appliquent lors de l'utilisation de clés de chiffrement gérées par le client avec Memorystore:
- Vous ne pouvez pas activer les clés de chiffrement gérées par le client sur une instance Memorystore existante.
- La région de la clé, du trousseau et de l'instance Memorystore doit être la même.
- Vous devez utiliser l'algorithme de chiffrement/déchiffrement symétrique de votre clé.
- L'utilisation de Cloud External Key Manager (Cloud EKM) pour gérer les clés n'est pas disponible pour cette fonctionnalité.