Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Questa pagina fornisce istruzioni per creare un'istanza Memorystore for Redis che utilizza chiavi di crittografia gestite dal cliente. Fornisce inoltre istruzioni per gestire le istanze che utilizzano CMEK. Per saperne di più sulle chiavi di crittografia gestite dal cliente per Memorystore, consulta Chiavi di crittografia gestite dal cliente.

Prima di iniziare

  1. Assicurati di disporre del ruolo amministratore Redis nel tuo account utente.

    Vai alla pagina IAM

Flusso di lavoro per creare un'istanza che utilizza CMEK

  1. Crea un portachiavi e crea una chiave nella posizione in cui vuoi che si trovi l'istanza Memorystore.

  2. Copia o annota l'ID chiave (KMS_KEY_ID), la posizione della chiave e l'ID (KMS_KEYRING_ID) per il mazzo di chiavi. Queste informazioni sono necessarie per concedere all'account di servizio l'accesso alla chiave.

  3. Concedi all'account di servizio Memorystore l'accesso alla chiave.

  4. Vai a un progetto e crea un'istanza di Memorystore for Redis con CMEK abilitato nella stessa regione della chiave e della chiave automatizzata.

L'istanza Memorystore for Redis è ora attivata con CMEK.

Creazione di una chiave e di un mazzo di chiavi

Segui le istruzioni per creare un portachiavi e creare una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Redis. La chiave può provenire da un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrica.

Concedere all'account di servizio l'accesso alla chiave

Per creare un'istanza Redis che utilizzi CMEK, devi prima concedere all'account di servizio Memorystore specifico l'accesso alla chiave. Concedi accesso all'account di servizio Memorystore che utilizza il seguente formato:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Console

Quando utilizzi la console, concedi all'account di servizio l'accesso alla chiave come parte della procedura per creare un'istanza Redis che utilizza CMEK.

gcloud

Per concedere all'account di servizio l'accesso alla chiave, esegui il seguente comando sostituendo VARIABLES con i valori appropriati:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Creazione di un'istanza Memorystore for Redis che utilizza CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente:

Console

  1. Per iniziare, devi avere un portachiavi e una chiave nella stessa regione in cui vuoi creare l'istanza Memorystore.

  2. Segui le istruzioni riportate in Creare un'istanza Redis su una rete VPC fino a raggiungere il passaggio per attivare una chiave di crittografia gestita dal cliente, quindi torna a queste istruzioni.

  3. Seleziona Usa una chiave di crittografia gestita dal cliente (CMEK).

  4. Utilizza il menu a discesa per selezionare la chiave.

  5. Se all'account di servizio Memorystore non sono state concesse le autorizzazioni di cui ha bisogno, viene visualizzata una casella di testo con il messaggio:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Fai clic sul pulsante Concedi per concedere l'autorizzazione del ruolo all'account di servizio Memorystore.

  6. Completa la selezione delle configurazioni desiderate per l'istanza e fai clic sul pulsante Crea per creare l'istanza Memorystore for Redis con CMEK abilitato.

gcloud

Per creare un'istanza che utilizza le chiavi di crittografia gestite dal cliente, inserisci il seguente comando, sostituendo VARIABLES con i valori appropriati:

gcloud redis instances create [INSTANCE_ID] \
--size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Visualizzazione delle informazioni chiave per un'istanza abilitata per CMEK

Segui queste istruzioni per verificare se CMEK è attivato per la tua istanza e per visualizzare la chiave attiva.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Memorystore for Redis.

    Memorystore for Redis

  2. Visualizza la pagina Dettagli istanza della tua istanza facendo clic sul tuo ID istanza.

  3. Fai clic sulla scheda Sicurezza.

  4. La sezione Crittografia con una chiave gestita dal cliente contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se questa sezione non viene visualizzata, significa che CMEK non è abilitato per la tua istanza.

gcloud

Per verificare se CMEK è abilitato e per visualizzare il riferimento della chiave, visualizza il campo customerManagedKey eseguendo il seguente comando:

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT \
--region=REGION

Disattivazione e riattivazione delle versioni delle chiavi

Per informazioni su cosa succede quando disattivi, attivi, distruggi o riattivi una versione della chiave, consulta Comportamento dell'eliminazione/disattivazione di una versione della chiave CMEK.

Per istruzioni su come disattivare e riattivare le versioni delle chiavi, consulta Abilitazione e disattivazione delle versioni delle chiavi.

Per istruzioni su come disattivare e riattivare le versioni delle chiavi, consulta Distruzione e ripristino delle versioni delle chiavi.

Passaggi successivi