Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Redis yang menggunakan kunci enkripsi yang dikelola pelanggan. Panduan ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk informasi selengkapnya tentang kunci enkripsi yang dikelola pelanggan untuk Memorystore, lihat Kunci enkripsi yang dikelola pelanggan.

Sebelum memulai

  1. Pastikan Anda memiliki peran Redis Admin di akun pengguna.

    Buka halaman IAM

Alur kerja untuk membuat instance yang menggunakan CMEK

  1. Buat key ring dan buat kunci di lokasi tempat Anda ingin instance Memorystore berada.

  2. Salin atau tulis kunci ID (KMS_KEY_ID), lokasi kunci, dan ID (KMS_KEYRING_ID) untuk KeyRing. Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.

  3. Beri akun layanan Memorystore akses ke kunci.

  4. Buka project dan buat instance Memorystore for Redis dengan CMEK diaktifkan di region yang sama dengan key ring dan kunci.

Instance Memorystore for Redis Anda kini diaktifkan dengan CMEK.

Membuat kunci dan key ring

Ikuti petunjuk untuk membuat ring kunci dan membuat kunci. Keduanya harus berada di region yang sama dengan instance Redis Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.

Memberi akun layanan akses ke kunci

Untuk membuat instance Redis yang menggunakan CMEK, Anda harus memberikan akses akun layanan Memorystore tertentu ke kunci terlebih dahulu. Berikan akses ke akun layanan Memorystore yang menggunakan format berikut:

service-[PROJECT-NUMBER]@cloud-redis.

Konsol

Saat menggunakan konsol, Anda memberikan akses ke kunci kepada akun layanan sebagai bagian dari langkah-langkah untuk membuat instance redis yang menggunakan CMEK.

gcloud

Untuk memberikan akses akun layanan ke kunci, jalankan perintah berikut yang mengganti VARIABLES dengan nilai yang sesuai:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis. \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Membuat instance Memorystore for Redis yang menggunakan CMEK

Untuk membuat instance dengan kunci enkripsi yang dikelola pelanggan:

Konsol

  1. Mulailah dengan memiliki kunci dan ring kunci di region yang sama dengan tempat Anda ingin membuat instance Memorystore.

  2. Ikuti petunjuk di Membuat instance Redis di jaringan VPC hingga Anda mencapai langkah untuk mengaktifkan kunci enkripsi yang dikelola pelanggan, lalu kembali ke petunjuk ini.

  3. Pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).

  4. Gunakan menu dropdown untuk memilih kunci Anda.

  5. Jika akun layanan Memorystore belum diberi izin yang diperlukan, kotak teks akan muncul yang bertuliskan:

    The service-[PROJECT-NUMBER]@cloud-redis. service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Klik tombol Berikan untuk memberikan izin peran ke akun layanan Memorystore.

  6. Selesaikan pemilihan konfigurasi yang diinginkan untuk instance Anda, lalu klik tombol Create untuk membuat instance Memorystore for Redis yang mengaktifkan CMEK.

gcloud

Untuk membuat instance yang menggunakan kunci enkripsi yang dikelola pelanggan, masukkan perintah berikut, dengan mengganti VARIABLES dengan nilai yang sesuai:

gcloud redis instances create [INSTANCE_ID] \
--size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Melihat informasi kunci untuk instance yang mendukung CMEK

Ikuti petunjuk ini untuk melihat apakah CMEK diaktifkan untuk instance Anda, dan untuk melihat kunci yang aktif.

Konsol

  1. Di Konsol Google Cloud, buka halaman Memorystore for Redis Instances.

    Memorystore for Redis

  2. Lihat halaman Detail instance untuk instance Anda dengan mengklik Instance ID.

  3. Klik tab Keamanan.

  4. Bagian Enkripsi dengan kunci yang dikelola pelanggan berisi link ke kunci aktif, dan menampilkan jalur referensi kunci. Jika bagian ini tidak muncul, CMEK tidak diaktifkan untuk instance Anda.

gcloud

Untuk memverifikasi apakah CMEK diaktifkan, dan untuk melihat referensi kunci, lihat kolom customerManagedKey dengan menjalankan perintah berikut:

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT \
--region=REGION

Menonaktifkan dan mengaktifkan kembali versi kunci

Untuk mengetahui informasi tentang yang terjadi saat Anda menonaktifkan, mengaktifkan, menghancurkan, atau mengaktifkan kembali versi kunci, lihat Perilaku pemusnahan/penonaktifan versi kunci CMEK.

Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Langkah berikutnya