Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Redis yang menggunakan kunci enkripsi yang dikelola pelanggan. Panduan ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk informasi selengkapnya tentang kunci enkripsi yang dikelola pelanggan untuk Memorystore, lihat Kunci enkripsi yang dikelola pelanggan.

Sebelum memulai

  1. Pastikan Anda memiliki peran Admin Redis di akun pengguna Anda.

    Buka halaman IAM

Alur kerja untuk membuat instance instance yang menggunakan CMEK

  1. Buat keyring dan buat kunci di lokasi yang Anda inginkan untuk instance Memorystore.

  2. Salin atau tulis ID kunci (KMS_KEY_ID), lokasi kunci, dan ID (KMS_KEYRING_ID) untuk keyring. Anda memerlukan informasi ini saat memberikan akses ke kunci kepada akun layanan.

  3. Beri akun layanan Memorystore akses ke kunci tersebut.

  4. Buka project dan buat instance Memorystore for Redis dengan CMEK yang aktif di region yang sama dengan keyring dan kunci.

Instance Memorystore for Redis Anda sekarang diaktifkan dengan CMEK.

Membuat kunci dan keyring

Ikuti petunjuk untuk membuat keyring dan membuat kunci. Keduanya harus berada di region yang sama dengan instance Redis Anda. Kunci tersebut dapat berasal dari project berbeda, selama kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algorithn enkripsi simetris.

Memberi akun layanan akses ke kunci

Untuk membuat instance Redis yang menggunakan CMEK, Anda harus terlebih dahulu memberikan akses ke kunci tersebut kepada akun layanan Memorystore tertentu. Berikan akses ke akun layanan Memorystore yang menggunakan format berikut:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Konsol

Saat menggunakan konsol, Anda memberi akun layanan akses ke kunci sebagai bagian dari langkah-langkah untuk membuat instance redis yang menggunakan CMEK.

gcloud

Untuk memberi akun layanan akses ke kunci, jalankan perintah berikut dengan mengganti VARIABLES dengan nilai yang sesuai:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Membuat instance Memorystore for Redis yang menggunakan CMEK

Untuk membuat instance dengan kunci enkripsi yang dikelola pelanggan:

Konsol

  1. Mulailah dengan memiliki keyring dan kunci di region yang sama tempat Anda ingin membuat instance Memorystore.

  2. Ikuti petunjuk di bagian Membuat instance Redis hingga Anda mencapai langkah untuk mengaktifkan kunci enkripsi yang dikelola pelanggan, lalu kembali ke petunjuk ini.

  3. Pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).

  4. Gunakan menu dropdown untuk memilih kunci Anda.

  5. Jika akun layanan Memorystore belum diberi izin yang diperlukan, akan muncul kotak teks yang bertuliskan:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Klik tombol Grant untuk memberikan izin peran ke akun layanan Memorystore.
  6. Selesaikan memilih konfigurasi yang diinginkan untuk instance Anda, dan klik tombol Create untuk membuat instance Memorystore for Redis berkemampuan CMEK.

gcloud

Untuk membuat instance yang menggunakan kunci enkripsi yang dikelola pelanggan, masukkan perintah berikut, dan ganti VARIABLES dengan nilai yang sesuai:

gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Melihat informasi penting untuk instance berkemampuan CMEK

Ikuti petunjuk berikut untuk melihat apakah CMEK diaktifkan untuk instance Anda, dan untuk melihat kunci aktif.

Konsol

  1. Di Konsol Google Cloud, buka halaman Memorystore for Redis Instances.

    Memorystore for Redis

  2. Lihat halaman Detail instance untuk instance Anda dengan mengklik ID Instance.

  3. Klik tab Keamanan.

  4. Bagian Enkripsi dengan kunci yang dikelola pelanggan berisi link ke kunci yang aktif, dan menampilkan jalur referensi kunci. Jika bagian ini tidak muncul, berarti CMEK tidak diaktifkan untuk instance Anda.

gcloud

Untuk memverifikasi apakah CMEK diaktifkan, dan untuk melihat referensi kunci, lihat kolom customerManagedKey dengan menjalankan perintah berikut:

gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION

Menonaktifkan dan mengaktifkan kembali versi kunci

Untuk informasi tentang hal yang terjadi saat Anda menonaktifkan, mengaktifkan, menghancurkan, atau mengaktifkan kembali versi kunci, lihat Perilaku menghancurkan/menonaktifkan versi kunci CMEK.

Untuk mengetahui petunjuk tentang cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk petunjuk tentang cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Langkah selanjutnya