Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Questa pagina fornisce istruzioni per creare un'istanza Memorystore for Redis che utilizza chiavi di crittografia gestite dal cliente. Fornisce inoltre istruzioni per gestire le istanze che utilizzano CMEK. Per saperne di più sulle chiavi di crittografia gestite dal cliente per Memorystore, consulta Chiavi di crittografia gestite dal cliente.

Prima di iniziare

  1. Assicurati di disporre del ruolo Amministratore Redis nel tuo account utente.

    Vai alla pagina IAM

Flusso di lavoro per la creazione di un'istanza di istanza che utilizza CMEK

  1. Crea un keyring e crea una chiave nella località in cui vuoi che si trovi l'istanza Memorystore.

  2. Copia o prendi nota dell'ID chiave (KMS_KEY_ID), della posizione della chiave e dell'ID (KMS_KEYRING_ID) del keyring. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.

  3. Concedi all'account di servizio Memorystore l'accesso alla chiave.

  4. Vai a un progetto e crea un'istanza Memorystore for Redis con CMEK abilitata nella stessa regione del keyring e della chiave.

L'istanza Memorystore for Redis è ora abilitata con CMEK.

Creazione di una chiave e di un keyring

Segui le istruzioni per creare un keyring e creare una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Redis. La chiave può appartenere a un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrico.

Concedere all'account di servizio l'accesso alla chiave

Per creare prima un'istanza Redis che utilizzi CMEK, devi concedere l'accesso alla chiave a un account di servizio Memorystore specifico. Concedi l'accesso all'account di servizio Memorystore che utilizza il seguente formato:

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

Console

Quando utilizzi la console, concedi all'account di servizio l'accesso alla chiave nell'ambito dei passaggi per la creazione di un'istanza Redis che utilizza CMEK.

gcloud

Per concedere all'account di servizio l'accesso alla chiave, esegui questo comando sostituendo VARIABLES con i valori appropriati:

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Creazione di un'istanza Memorystore for Redis che utilizza CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente:

Console

  1. Inizia avendo un keyring e una chiave nella stessa regione in cui vuoi creare l'istanza Memorystore.

  2. Segui le istruzioni riportate in Creazione di un'istanza Redis fino al passaggio per abilitare una chiave di crittografia gestita dal cliente, quindi torna a queste istruzioni.

  3. Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).

  4. Utilizza il menu a discesa per selezionare la chiave.

  5. Se all'account di servizio Memorystore non sono state concesse le autorizzazioni necessarie, viene visualizzata una casella di testo con il messaggio:

    The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

    • Fai clic sul pulsante Concedi per concedere l'autorizzazione del ruolo all'account di servizio di Memorystore.

  6. Completa la selezione delle configurazioni desiderate per l'istanza e fai clic sul pulsante Crea per creare l'istanza Memorystore for Redis con CMEK abilitata.

gcloud

Per creare un'istanza che utilizza chiavi di crittografia gestite dal cliente, inserisci il seguente comando, sostituendo VARIABLES con i valori appropriati:

gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

Visualizzazione delle informazioni chiave per un'istanza abilitata per CMEK

Segui queste istruzioni per vedere se la CMEK è abilitata per la tua istanza e per visualizzare la chiave attiva.

Console

  1. Nella Google Cloud Console, vai alla pagina Istanze Memorystore for Redis.

    Memorystore for Redis

  2. Visualizza la pagina Dettagli istanza dell'istanza facendo clic sul tuo ID istanza.

  3. Fai clic sulla scheda Sicurezza.

  4. La sezione Crittografia con una chiave gestita dal cliente contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se questa sezione non viene visualizzata, CMEK non è abilitata per la tua istanza.

gcloud

Per verificare se la CMEK è abilitata e per visualizzare il riferimento alla chiave, visualizza il campo customerManagedKey eseguendo questo comando:

gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION

Disattivare e riattivare le versioni della chiave

Per informazioni su cosa succede quando disabiliti, abiliti, elimini o riattivi una versione della chiave, consulta Comportamento di eliminazione/disattivazione di una versione della chiave CMEK.

Per istruzioni su come disattivare e riattivare le versioni delle chiavi, vedi Abilitazione e disabilitazione delle versioni delle chiavi.

Per istruzioni su come disabilitare e riattivare le versioni della chiave, vedi Eliminare e ripristinare le versioni della chiave.

Passaggi successivi