Usar chaves de criptografia gerenciadas pelo cliente (CMEK)

Esta página contém instruções para criar uma instância do Memorystore para Redis que usa chaves de criptografia gerenciadas pelo cliente. Ela também fornece instruções para gerenciar instâncias que usam a CMEK. Para mais informações sobre chaves de criptografia gerenciadas pelo cliente para o Memorystore, consulte Chaves de criptografia gerenciadas pelo cliente.

Antes de começar

  1. Verifique se você tem o papel de administrador do Redis na sua conta de usuário.

    Acessar a página do IAM

Fluxo de trabalho para criar uma instância que usa o CMEK

  1. Crie um keyring e crie uma chave no local em que você quer que a instância do Memorystore esteja.

  2. Copie ou anote o ID da chave (KMS_KEY_ID), o local da chave e o ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações para conceder à conta de serviço o acesso à chave.

  3. Conceda à conta de serviço do Memorystore acesso à chave.

  4. Acesse um projeto e crie uma instância do Memorystore para Redis com o CMEK ativado na mesma região do keyring e da chave.

Sua instância do Memorystore para Redis agora está ativada com o CMEK.

Como criar uma chave e um keyring

Siga as instruções para criar um chaveiro e criar uma chave. Ambos precisam estar na mesma região da sua instância do Redis. A chave pode ser de um projeto diferente, desde que esteja na mesma região. Além disso, a chave precisa usar o algoritmo de criptografia simétrica.

Como conceder à conta de serviço acesso à chave

Para criar uma instância do Redis que usa a CMEK, primeiro é necessário conceder a uma conta de serviço do Memorystore específica acesso à chave. Conceda acesso à conta de serviço do Memorystore que usa o seguinte formato:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Console

Ao usar o console, você concede à conta de serviço acesso à chave como parte das etapas para criar uma instância do Redis que usa a CMEK.

gcloud

Para conceder à conta de serviço acesso à chave, execute o comando abaixo substituindo VARIABLES pelos valores apropriados:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Como criar uma instância do Memorystore para Redis que usa CMEK

Para criar uma instância com chaves de criptografia gerenciadas pelo cliente:

Console

  1. Comece criando um chaveiro e uma chave na mesma região em que você quer criar a instância do Memorystore.

  2. Siga as instruções em Como criar uma instância do Redis até chegar à etapa de ativação de uma chave de criptografia gerenciada pelo cliente e volte a estas instruções.

  3. Selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).

  4. Use o menu suspenso para selecionar a chave.

  5. Se a conta de serviço do Memorystore não tiver recebido as permissões necessárias, uma caixa de texto vai aparecer com a mensagem:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Clique no botão Conceder para conceder a permissão de função à conta de serviço do Memorystore.

  6. Termine de selecionar as configurações desejadas para a instância e clique no botão Criar para criar a instância do Memorystore para Redis com CMEK ativada.

gcloud

Para criar uma instância que use chaves de criptografia gerenciadas pelo cliente, digite o seguinte comando, substituindo VARIABLES pelos valores apropriados:

gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Como visualizar informações da chave em uma instância ativada para CMEK

Siga estas instruções para saber se a CMEK está ativada para sua instância e para ver a chave ativa.

Console

  1. No console do Google Cloud, acesse a página Memorystore para instâncias do Redis.

    Memorystore para Redis

  2. Clique no ID da instância para acessar a página Detalhes da instância.

  3. Clique na guia Segurança.

  4. A seção Criptografia com uma chave gerenciada pelo cliente contém um link para a chave ativa e mostra o caminho de referência da chave. Se essa seção não aparecer, o CMEK não está ativado para sua instância.

gcloud

Para verificar se a CMEK está ativada e conferir a referência da chave, confira o campo customerManagedKey executando o seguinte comando:

gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION

Como desativar e reativar versões de chave

Para saber o que acontece quando você desativa, ativa, destrói ou reativa uma versão de chave, consulte Comportamento de destruição/desativação de uma versão de chave CMEK.

Para instruções sobre como desativar e reativar versões de chave, consulte Como ativar e desativar versões de chave.

Para instruções sobre como desativar e reativar versões de chave, consulte Como destruir e restaurar versões de chave.

A seguir