使用客户管理的加密密钥 (CMEK)

控制台

使用控制台时，您需要在创建使用 CMEK 的 Redis 实例的步骤中向服务帐号授予对密钥的访问权限。

gcloud

如需授予服务帐号访问密钥的权限，请运行以下命令，将 VARIABLES 替换为适当的值：

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

控制台

1. 首先，在您要创建 Memorystore 实例的同一区域中具有密钥环和密钥。

2. 按照创建 Redis 实例中的说明操作，直至达到启用客户管理的加密密钥的步骤，然后返回到这些说明。

3. 选择使用客户管理的加密密钥 (CMEK)。

4. 使用下拉菜单选择您的密钥。

5. 如果 Memorystore 服务帐号尚未获得所需的权限，则系统会显示一个文本框：

   The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

   • 点击授予按钮，以向 Memorystore 服务帐号授予角色权限。

6. 完成对实例所需的配置，然后点击创建按钮以创建启用了 CMEK 的 Memorystore for Redis 实例。

gcloud

如需创建使用客户管理的加密密钥的实例，请输入以下命令，将 VARIABLES 替换为适当的值：

gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

控制台

1. 在 Google Cloud Console 中，转到 Memorystore for Redis 实例页面。

   Memorystore for Redis

2. 点击实例 ID，查看实例的实例详情页面。

3. 点击安全标签页。

4. 使用客户管理的密钥加密部分包含指向有效密钥的链接，并显示密钥参考路径。如果未显示此部分，则表示您的实例未启用 CMEK。

gcloud

如需验证是否已启用 CMEK 并查看密钥引用，请运行以下命令来查看 customerManagedKey 字段：

gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION