Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Redis yang menggunakan kunci enkripsi yang dikelola pelanggan. Panduan ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk informasi selengkapnya tentang kunci enkripsi yang dikelola pelanggan untuk Memorystore, lihat Kunci enkripsi yang dikelola pelanggan.
Sebelum memulai
Pastikan Anda memiliki peran Admin Redis di akun pengguna Anda.
Alur kerja untuk membuat instance instance yang menggunakan CMEK
Buat keyring dan buat kunci di lokasi yang Anda inginkan untuk instance Memorystore.
Salin atau tulis ID kunci (KMS_KEY_ID), lokasi kunci, dan ID (KMS_KEYRING_ID) untuk keyring. Anda memerlukan informasi ini saat memberikan akses ke kunci kepada akun layanan.
Buka project dan buat instance Memorystore for Redis dengan CMEK yang aktif di region yang sama dengan keyring dan kunci.
Instance Memorystore for Redis Anda sekarang diaktifkan dengan CMEK.
Membuat kunci dan keyring
Ikuti petunjuk untuk membuat keyring dan membuat kunci. Keduanya harus berada di region yang sama dengan instance Redis Anda. Kunci tersebut dapat berasal dari project berbeda, selama kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algorithn enkripsi simetris.
Memberi akun layanan akses ke kunci
Untuk membuat instance Redis yang menggunakan CMEK, Anda harus terlebih dahulu memberikan akses ke kunci tersebut kepada akun layanan Memorystore tertentu. Berikan akses ke akun layanan Memorystore yang menggunakan format berikut:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
Konsol
Saat menggunakan konsol, Anda memberi akun layanan akses ke kunci sebagai bagian dari langkah-langkah untuk membuat instance redis yang menggunakan CMEK.
gcloud
Untuk memberi akun layanan akses ke kunci, jalankan perintah berikut dengan mengganti VARIABLES dengan nilai yang sesuai:
gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \ --location=[REGION_ID] \ --keyring=[KMS_KEYRING_ID] \ --member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Membuat instance Memorystore for Redis yang menggunakan CMEK
Untuk membuat instance dengan kunci enkripsi yang dikelola pelanggan:
Konsol
Mulailah dengan memiliki keyring dan kunci di region yang sama tempat Anda ingin membuat instance Memorystore.
Ikuti petunjuk di bagian Membuat instance Redis hingga Anda mencapai langkah untuk mengaktifkan kunci enkripsi yang dikelola pelanggan, lalu kembali ke petunjuk ini.
Pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Gunakan menu dropdown untuk memilih kunci Anda.
Jika akun layanan Memorystore belum diberi izin yang diperlukan, akan muncul kotak teks yang bertuliskan:
The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.
- Klik tombol Grant untuk memberikan izin peran ke akun layanan Memorystore.
Selesaikan memilih konfigurasi yang diinginkan untuk instance Anda, dan klik tombol Create untuk membuat instance Memorystore for Redis berkemampuan CMEK.
gcloud
Untuk membuat instance yang menggunakan kunci enkripsi yang dikelola pelanggan, masukkan perintah berikut, dan ganti VARIABLES dengan nilai yang sesuai:
gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \ --region=[REGION_ID] \ --customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]
Melihat informasi penting untuk instance berkemampuan CMEK
Ikuti petunjuk berikut untuk melihat apakah CMEK diaktifkan untuk instance Anda, dan untuk melihat kunci aktif.
Konsol
Di Konsol Google Cloud, buka halaman Memorystore for Redis Instances.
Lihat halaman Detail instance untuk instance Anda dengan mengklik ID Instance.
Klik tab Keamanan.
Bagian Enkripsi dengan kunci yang dikelola pelanggan berisi link ke kunci yang aktif, dan menampilkan jalur referensi kunci. Jika bagian ini tidak muncul, berarti CMEK tidak diaktifkan untuk instance Anda.
gcloud
Untuk memverifikasi apakah CMEK diaktifkan, dan untuk melihat referensi kunci, lihat kolom customerManagedKey
dengan menjalankan perintah berikut:
gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION
Menonaktifkan dan mengaktifkan kembali versi kunci
Untuk informasi tentang hal yang terjadi saat Anda menonaktifkan, mengaktifkan, menghancurkan, atau mengaktifkan kembali versi kunci, lihat Perilaku menghancurkan/menonaktifkan versi kunci CMEK.
Untuk mengetahui petunjuk tentang cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.
Untuk petunjuk tentang cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Langkah selanjutnya
- Pelajari Redis AUTH lebih lanjut.
- Pelajari Enkripsi dalam transit lebih lanjut.