Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Redis yang menggunakan kunci enkripsi yang dikelola pelanggan. Panduan ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk informasi selengkapnya tentang kunci enkripsi yang dikelola pelanggan untuk Memorystore, lihat Kunci enkripsi yang dikelola pelanggan.
Sebelum memulai
Pastikan Anda memiliki peran Redis Admin di akun pengguna.
Alur kerja untuk membuat instance instance yang menggunakan CMEK
Buat key ring dan buat kunci di lokasi tempat Anda ingin instance Memorystore berada.
Salin atau tulis kunci ID (KMS_KEY_ID), lokasi kunci, dan ID (KMS_KEYRING_ID) untuk KeyRing. Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.
Buka project dan buat instance Memorystore for Redis dengan CMEK diaktifkan di region yang sama dengan ring kunci dan kunci.
Instance Memorystore for Redis Anda kini diaktifkan dengan CMEK.
Membuat kunci dan key ring
Ikuti petunjuk untuk membuat ring kunci dan membuat kunci. Keduanya harus berada di region yang sama dengan instance Redis Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.
Memberi akun layanan akses ke kunci
Untuk membuat instance Redis yang menggunakan CMEK, Anda harus memberikan akses akun layanan Memorystore tertentu ke kunci terlebih dahulu. Berikan akses ke akun layanan Memorystore yang menggunakan format berikut:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
Konsol
Saat menggunakan konsol, Anda memberikan akses ke kunci kepada akun layanan sebagai bagian dari langkah-langkah untuk membuat instance redis yang menggunakan CMEK.
gcloud
Untuk memberikan akses akun layanan ke kunci, jalankan perintah berikut yang mengganti VARIABLES dengan nilai yang sesuai:
gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \ --location=[REGION_ID] \ --keyring=[KMS_KEYRING_ID] \ --member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Membuat instance Memorystore for Redis yang menggunakan CMEK
Untuk membuat instance dengan kunci enkripsi yang dikelola pelanggan:
Konsol
Mulailah dengan memiliki ring kunci dan kunci di region yang sama dengan tempat Anda ingin membuat instance Memorystore.
Ikuti petunjuk di Membuat instance Redis hingga Anda mencapai langkah untuk mengaktifkan kunci enkripsi yang dikelola pelanggan, lalu kembali ke petunjuk ini.
Pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Gunakan menu dropdown untuk memilih kunci Anda.
Jika akun layanan Memorystore belum diberi izin yang diperlukan, kotak teks akan muncul yang bertuliskan:
The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.- Klik tombol Berikan untuk memberikan izin peran ke akun layanan Memorystore.
Selesaikan pemilihan konfigurasi yang diinginkan untuk instance Anda, lalu klik tombol Create untuk membuat instance Memorystore for Redis yang mengaktifkan CMEK.
gcloud
Untuk membuat instance yang menggunakan kunci enkripsi yang dikelola pelanggan, masukkan perintah berikut, dengan mengganti VARIABLES dengan nilai yang sesuai:
gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \ --region=[REGION_ID] \ --customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]
Melihat informasi kunci untuk instance yang mendukung CMEK
Ikuti petunjuk ini untuk melihat apakah CMEK diaktifkan untuk instance Anda, dan untuk melihat kunci yang aktif.
Konsol
Di Konsol Google Cloud, buka halaman Memorystore for Redis Instances.
Lihat halaman Detail instance untuk instance Anda dengan mengklik Instance ID.
Klik tab Keamanan.
Bagian Enkripsi dengan kunci yang dikelola pelanggan berisi link ke kunci aktif, dan menampilkan jalur referensi kunci. Jika bagian ini tidak muncul, CMEK tidak diaktifkan untuk instance Anda.
gcloud
Untuk memverifikasi apakah CMEK diaktifkan, dan untuk melihat referensi kunci, lihat
kolom customerManagedKey dengan menjalankan perintah berikut:
gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION
Menonaktifkan dan mengaktifkan kembali versi kunci
Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, mengaktifkan, menghancurkan, atau mengaktifkan kembali versi kunci, lihat Perilaku pemusnahan/penonaktifan versi kunci CMEK.
Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.
Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Langkah selanjutnya
- Pelajari Redis AUTH lebih lanjut.
- Pelajari Enkripsi dalam pengiriman lebih lanjut.