Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite wird beschrieben, wie Sie eine Memorystore for Redis-Instanz erstellen, die vom Kunden verwaltete Verschlüsselungsschlüssel verwendet. Außerdem finden Sie eine Anleitung zum Verwalten von Instanzen, die CMEK verwenden. Weitere Informationen zu vom Kunden verwalteten Verschlüsselungsschlüsseln für Memorystore finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Hinweis

  1. Prüfen Sie, ob Sie die Rolle „Redis-Administrator“ für Ihr Nutzerkonto haben.

    Zur IAM-Seite

Workflow zum Erstellen einer Instanz, die CMEK verwendet

  1. Erstellen Sie einen Schlüsselbund und erstellen Sie einen Schlüssel an dem Ort, an dem sich die Memorystore-Instanz befinden soll.

  2. Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID), den Speicherort des Schlüssels und die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

  3. Gewähren Sie dem Memorystore-Dienstkonto Zugriff auf den Schlüssel.

  4. Rufen Sie ein Projekt auf und erstellen Sie eine Memorystore for Redis-Instanz mit aktiviertem CMEK in derselben Region, in der sich Schlüsselbund und Schlüssel befinden.

Ihre Memorystore for Redis-Instanz ist jetzt mit CMEK aktiviert.

Schlüssel und Schlüsselbund erstellen

Folgen Sie der Anleitung zum Erstellen eines Schlüsselbunds und zum Erstellen eines Schlüssels. Beide müssen sich in derselben Region wie Ihre Redis-Instanz befinden. Der Schlüssel kann aus einem anderen Projekt stammen, solange er sich in derselben Region befindet. Außerdem muss der Schlüssel die symmetrische Verschlüsselung Algorithn verwenden.

Dienstkonto Zugriff auf den Schlüssel gewähren

Zum Erstellen einer Redis-Instanz, die CMEK verwendet, müssen Sie einem bestimmten Memorystore-Dienstkonto Zugriff auf den Schlüssel gewähren. Gewähren Sie dem Memorystore-Dienstkonto Zugriff im folgenden Format:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Console

Wenn Sie die Console verwenden, gewähren Sie dem Dienstkonto im Rahmen der Schritte zum Erstellen einer Redis-Instanz, die CMEK verwendet, den Zugriff auf den Schlüssel.

gcloud

Führen Sie den folgenden Befehl aus, um dem Dienstkonto Zugriff auf den Schlüssel zu gewähren. Ersetzen Sie dabei VARIABLES durch die entsprechenden Werte:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Instanz von Memorystore for Redis erstellen, die CMEK verwendet

So erstellen Sie eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln:

Console

  1. Beginnen Sie mit einem Schlüsselbund und Schlüssel in derselben Region, in der Sie die Memorystore-Instanz erstellen möchten.

  2. Folgen Sie der Anleitung unter Redis-Instanz erstellen, bis Sie den Schritt zum Aktivieren eines vom Kunden verwalteten Verschlüsselungsschlüssels erreicht haben. Kehren Sie dann zu dieser Anleitung zurück.

  3. Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.

  4. Wählen Sie den Schlüssel im Drop-down-Menü aus.

  5. Wenn dem Memorystore-Dienstkonto nicht die erforderlichen Berechtigungen gewährt wurden, wird ein Textfeld angezeigt:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Klicken Sie auf die Schaltfläche Gewähren, um dem Memorystore-Dienstkonto die Berechtigung zu erteilen.
  6. Wählen Sie die gewünschten Konfigurationen für Ihre Instanz aus und klicken Sie auf die Schaltfläche Erstellen, um die CMEK-fähige Instanz von Memorystore for Redis zu erstellen.

gcloud

Geben Sie den folgenden Befehl ein, um eine Instanz zu erstellen, die vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, und ersetzen Sie VARIABLES durch die entsprechenden Werte:

gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Folgen Sie dieser Anleitung, um festzustellen, ob CMEK für Ihre Instanz aktiviert ist, und um den aktiven Schlüssel aufzurufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „ Memorystore for Redis-Instanzen“ auf.

    Memorystore for Redis

  2. Klicken Sie auf die Instanz-ID, um die Seite Instanzdetails für Ihre Instanz aufzurufen.

  3. Klicken Sie auf die Registerkarte Sicherheit.

  4. Der Bereich Verschlüsselung mit einem vom Kunden verwalteten Schlüssel enthält einen Link zum aktiven Schlüssel und den Referenzpfad des Schlüssels. Wenn dieser Abschnitt nicht angezeigt wird, ist CMEK für Ihre Instanz nicht aktiviert.

gcloud

Rufen Sie das Feld customerManagedKey mit dem folgenden Befehl auf, um zu prüfen, ob CMEK aktiviert ist, und um die Schlüsselreferenz aufzurufen:

gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION

Schlüsselversionen deaktivieren und reaktivieren

Informationen dazu, was passiert, wenn Sie eine Schlüsselversion deaktivieren, aktivieren, löschen oder wieder aktivieren, finden Sie unter Verhalten beim Löschen/Deaktivieren einer CMEK-Schlüsselversion.

Eine Anleitung zum Deaktivieren und Reaktivieren von Schlüsselversionen finden Sie unter Schlüsselversionen aktivieren und deaktivieren.

Eine Anleitung zum Deaktivieren und Reaktivieren von Schlüsselversionen finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Nächste Schritte