Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Questa pagina fornisce le istruzioni per creare un'istanza Memorystore for Redis che utilizza chiavi di crittografia gestite dal cliente. Fornisce inoltre istruzioni per la gestione delle istanze che utilizzano CMEK. Per ulteriori informazioni sulle chiavi di crittografia gestite dal cliente per Memorystore, consulta le chiavi di crittografia gestite dal cliente.

Prima di iniziare

  1. Assicurati di avere il ruolo Amministratore Redis nel tuo account utente.

    Vai alla pagina IAM

Flusso di lavoro per la creazione di un'istanza di istanza che utilizza CMEK

  1. Crea un keyring e crea una chiave nella posizione in cui vuoi inserire l'istanza Memorystore.

  2. Copia o prendi nota dell'ID chiave (KMS_KEY_ID), della posizione della chiave e dell'ID (KMS_KEYRING_ID) per il keyring. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.

  3. Concedi all'account di servizio Memorystore l'accesso alla chiave.

  4. Vai a un progetto e crea un'istanza Memorystore for Redis con CMEK abilitata nella stessa regione del keyring e della chiave.

La tua istanza Memorystore for Redis è ora abilitata con CMEK.

Creazione di una chiave e del keyring

Segui le istruzioni per creare un keyring e creare una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Redis. La chiave può provenire da un progetto diverso, purché la chiave si trovi nella stessa area geografica. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrico.

Concedere all'account di servizio l'accesso alla chiave

Per creare un'istanza Redis che utilizza prima CMEK, devi concedere a una specifica account di servizio Memorystore l'accesso alla chiave. Concedi l'accesso all'account di servizio Memorystore che utilizza il seguente formato:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Console

Quando utilizzi la console, concedi all'account di servizio l'accesso alla chiave come parte dei passaggi per la creazione di un'istanza Redis che utilizza CMEK.

gcloud

Per concedere l'accesso all'account di servizio alla chiave, esegui il comando seguente sostituendo VARIABLES con i valori appropriati:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Creazione di un'istanza Memorystore for Redis che utilizza CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente:

Console

  1. Inizia disponi di un keyring e di una chiave nella stessa regione in cui vuoi creare l'istanza Memorystore.

  2. Segui le istruzioni nella pagina Creazione di un'istanza Redis fino a quando non raggiungi il passaggio per l'abilitazione di una chiave di crittografia gestita dal cliente, quindi torna a queste istruzioni.

  3. Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).

  4. Utilizza il menu a discesa per selezionare il token.

  5. Se all'account di servizio Memorystore non sono state concesse le autorizzazioni necessarie, viene visualizzata una casella di testo con il messaggio:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Fai clic sul pulsante Concedi per concedere il ruolo all'account di servizio Memorystore.

  6. Completa la selezione delle configurazioni desiderate per l'istanza e fai clic sul pulsante Crea per creare l'istanza Memorystore for Redis abilitata per CMEK.

gcloud

Per creare un'istanza che utilizza chiavi di crittografia gestite dal cliente, inserisci il seguente comando, sostituendo VARIABLES con i valori appropriati:

gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Visualizzazione delle informazioni chiave per un'istanza abilitata per CMEK

Segui queste istruzioni per vedere se CMEK è abilitata per la tua istanza e per visualizzare la chiave attiva.

Console

  1. In Google Cloud Console, vai alla pagina Istanze Memorystore for Redis.

    Memorystore per Redis

  2. Visualizza la pagina Dettagli istanza per la tua istanza facendo clic sul tuo ID istanza.

  3. Fai clic sulla scheda Sicurezza.

  4. La sezione Crittografia con una chiave gestita dal cliente contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se questa sezione non viene visualizzata, CMEK non è abilitata per la tua istanza.

gcloud

Per verificare se CMEK è abilitata e per visualizzare il riferimento chiave, visualizza il campo customerManagedKey eseguendo il comando seguente:

gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION

Disabilitazione e riattivazione delle versioni della chiave

Per informazioni su cosa accade quando si disattiva, si abilita, si elimina o si riattiva una versione della chiave, vedi Comportamento dell'eliminazione o della disattivazione di una versione della chiave CMEK.

Per istruzioni su come disattivare e riattivare le versioni della chiave, consulta la sezione Attivazione e disattivazione delle versioni della chiave.

Per istruzioni su come disattivare e riattivare le versioni della chiave, consulta la sezione Eliminare e ripristinare le versioni della chiave.

Passaggi successivi