Usar claves de encriptación administradas por el cliente (CMEK)

En esta página, se proporcionan instrucciones para crear una instancia de Memorystore para Redis que use claves de encriptación administradas por el cliente. También proporciona instrucciones para administrar instancias que usan CMEK. Para obtener más información sobre las claves de encriptación administradas por el cliente para Memorystore, consulta Claves de encriptación administradas por el cliente.

Antes de comenzar

  1. Asegúrate de tener el rol de administrador de Redis en tu cuenta de usuario.

    Ir a la página IAM

Flujo de trabajo para crear una instancia que use CMEK

  1. Crea un llavero de claves y crea una clave en la ubicación en la que deseas que se encuentre la instancia de Memorystore.

  2. Copia o escribe el ID de la clave (KMS_KEY_ID), la ubicación de la clave y el ID (KMS_KEYRING_ID) del llavero de claves. Necesitarás esta información cuando le otorgues a la cuenta de servicio acceso a la clave.

  3. Otorga a la cuenta de servicio de Memorystore acceso a la clave.

  4. Ve a un proyecto y crea una instancia de Memorystore para Redis con CMEK habilitada en la misma región que el llavero y la clave.

Tu instancia de Memorystore para Redis ahora está habilitada con CMEK.

Cómo crear una clave y un llavero

Sigue las instrucciones para crear un llavero y crear una clave. Ambos deben estar en la misma región que tu instancia de Redis. La clave puede ser de un proyecto diferente, siempre que esté en la misma región. Además, la clave debe usar el algoritmo de encriptación simétrica.

Otorga a la cuenta de servicio acceso a la clave

Para crear una instancia de Redis que use CMEK, primero debes otorgar acceso a la clave a una cuenta de servicio de Memorystore específica. Otorga acceso a la cuenta de servicio de Memorystore que usa el siguiente formato:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Console

Cuando usas la consola, le otorgas a la cuenta de servicio acceso a la clave como parte de los pasos para crear una instancia de Redis que use CMEK.

gcloud

Para otorgarle acceso a la clave a la cuenta de servicio, ejecuta el siguiente comando y reemplaza VARIABLES por los valores adecuados:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Crea una instancia de Memorystore para Redis que use CMEK

Para crear una instancia con claves de encriptación administradas por el cliente:

Console

  1. Comienza por tener un llavero y una clave en la misma región donde deseas crear tu instancia de Memorystore.

  2. Sigue las instrucciones de Cómo crear una instancia de Redis en una red de VPC hasta que llegues al paso para habilitar una clave de encriptación administrada por el cliente y, luego, vuelve a estas instrucciones.

  3. Selecciona Usar una clave de encriptación administrada por el cliente (CMEK).

  4. Usa el menú desplegable para seleccionar tu clave.

  5. Si no se le otorgaron los permisos necesarios a la cuenta de servicio de Memorystore, aparecerá un cuadro de texto que dirá lo siguiente:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Haz clic en el botón Otorgar para otorgar el permiso de rol a la cuenta de servicio de Memorystore.

  6. Termina de seleccionar las configuraciones que desees para tu instancia y haz clic en el botón Crear para crear tu instancia de Memorystore para Redis habilitada para CMEK.

gcloud

Para crear una instancia que use claves de encriptación administradas por el cliente, ingresa el siguiente comando y reemplaza VARIABLES por los valores apropiados:

gcloud redis instances create [INSTANCE_ID] \
--size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Visualiza la información de claves de una instancia con CMEK habilitadas

Sigue estas instrucciones para ver si las CMEK están habilitadas en tu instancia y para ver la clave activa.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de Memorystore para Redis.

    Memorystore para Redis

  2. Haz clic en el ID de la instancia para ver la página Detalles de la instancia.

  3. Haz clic en la pestaña Seguridad.

  4. La sección Encriptación con una clave administrada por el cliente contiene un vínculo a la clave activa y muestra la ruta de acceso de referencia de la clave. Si no aparece esta sección, significa que las CMEK no están habilitadas para tu instancia.

gcloud

Para verificar si CMEK está habilitado y ver la referencia de clave, ejecuta el siguiente comando para ver el campo customerManagedKey:

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT \
--region=REGION

Inhabilita y vuelve a habilitar versiones de claves

Para obtener información sobre lo que sucede cuando inhabilitas, habilitas, destruyes o vuelves a habilitar una versión de clave, consulta Comportamiento de la destrucción o inhabilitación de una versión de clave CMEK.

Si deseas obtener instrucciones para inhabilitar y volver a habilitar versiones de clave, consulta Habilita e inhabilita versiones de clave.

Si deseas obtener instrucciones para inhabilitar y volver a habilitar versiones de clave, consulta Destruye y restablece versiones de clave.

¿Qué sigue?