Questa pagina fornisce istruzioni per creare un'istanza Memorystore for Redis che utilizza chiavi di crittografia gestite dal cliente. Fornisce inoltre istruzioni per gestire le istanze che utilizzano CMEK. Per saperne di più sulle chiavi di crittografia gestite dal cliente per Memorystore, consulta Chiavi di crittografia gestite dal cliente.
Prima di iniziare
Assicurati di disporre del ruolo Amministratore Redis nel tuo account utente.
Flusso di lavoro per la creazione di un'istanza di istanza che utilizza CMEK
Crea un keyring e crea una chiave nella località in cui vuoi che si trovi l'istanza Memorystore.
Copia o prendi nota dell'ID chiave (KMS_KEY_ID), della posizione della chiave e dell'ID (KMS_KEYRING_ID) del keyring. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.
Concedi all'account di servizio Memorystore l'accesso alla chiave.
Vai a un progetto e crea un'istanza Memorystore for Redis con CMEK abilitata nella stessa regione del keyring e della chiave.
L'istanza Memorystore for Redis è ora abilitata con CMEK.
Creazione di una chiave e di un keyring
Segui le istruzioni per creare un keyring e creare una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Redis. La chiave può appartenere a un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrico.
Concedere all'account di servizio l'accesso alla chiave
Per creare prima un'istanza Redis che utilizzi CMEK, devi concedere l'accesso alla chiave a un account di servizio Memorystore specifico. Concedi l'accesso all'account di servizio Memorystore che utilizza il seguente formato:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
Console
Quando utilizzi la console, concedi all'account di servizio l'accesso alla chiave nell'ambito dei passaggi per la creazione di un'istanza Redis che utilizza CMEK.
gcloud
Per concedere all'account di servizio l'accesso alla chiave, esegui questo comando sostituendo VARIABLES con i valori appropriati:
gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \ --location=[REGION_ID] \ --keyring=[KMS_KEYRING_ID] \ --member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Creazione di un'istanza Memorystore for Redis che utilizza CMEK
Per creare un'istanza con chiavi di crittografia gestite dal cliente:
Console
Inizia avendo un keyring e una chiave nella stessa regione in cui vuoi creare l'istanza Memorystore.
Segui le istruzioni riportate in Creazione di un'istanza Redis fino al passaggio per abilitare una chiave di crittografia gestita dal cliente, quindi torna a queste istruzioni.
Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).
Utilizza il menu a discesa per selezionare la chiave.
Se all'account di servizio Memorystore non sono state concesse le autorizzazioni necessarie, viene visualizzata una casella di testo con il messaggio:
The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.
- Fai clic sul pulsante Concedi per concedere l'autorizzazione del ruolo all'account di servizio di Memorystore.
Completa la selezione delle configurazioni desiderate per l'istanza e fai clic sul pulsante Crea per creare l'istanza Memorystore for Redis con CMEK abilitata.
gcloud
Per creare un'istanza che utilizza chiavi di crittografia gestite dal cliente, inserisci il seguente comando, sostituendo VARIABLES con i valori appropriati:
gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \ --region=[REGION_ID] \ --customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]
Visualizzazione delle informazioni chiave per un'istanza abilitata per CMEK
Segui queste istruzioni per vedere se la CMEK è abilitata per la tua istanza e per visualizzare la chiave attiva.
Console
Nella Google Cloud Console, vai alla pagina Istanze Memorystore for Redis.
Visualizza la pagina Dettagli istanza dell'istanza facendo clic sul tuo ID istanza.
Fai clic sulla scheda Sicurezza.
La sezione Crittografia con una chiave gestita dal cliente contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se questa sezione non viene visualizzata, CMEK non è abilitata per la tua istanza.
gcloud
Per verificare se la CMEK è abilitata e per visualizzare il riferimento alla chiave, visualizza il campo customerManagedKey
eseguendo questo comando:
gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION
Disattivare e riattivare le versioni della chiave
Per informazioni su cosa succede quando disabiliti, abiliti, elimini o riattivi una versione della chiave, consulta Comportamento di eliminazione/disattivazione di una versione della chiave CMEK.
Per istruzioni su come disattivare e riattivare le versioni delle chiavi, vedi Abilitazione e disabilitazione delle versioni delle chiavi.
Per istruzioni su come disabilitare e riattivare le versioni della chiave, vedi Eliminare e ripristinare le versioni della chiave.
Passaggi successivi
- Scopri di più su Redis AUTH.
- Scopri di più sulla crittografia dei dati in transito.