Questa pagina fornisce le istruzioni per creare un'istanza Memorystore for Redis che utilizza chiavi di crittografia gestite dal cliente. Fornisce anche istruzioni per per la gestione delle istanze che usano CMEK. Per ulteriori informazioni sulla gestione per Memorystore, vedi Chiavi di crittografia gestite dal cliente.
Prima di iniziare
Assicurati di avere il ruolo Amministratore Redis sul tuo account utente.
Flusso di lavoro per la creazione di un'istanza che utilizza CMEK
Crea un keyring e crea una chiave nella località in cui vuoi che si trovi l'istanza Memorystore.
Copia o annota l'ID chiave (KMS_KEY_ID), la posizione della chiave e l'ID (KMS_KEYRING_ID) per il portachiavi. Queste informazioni sono necessarie per concedere l'accesso dell'account di servizio alla chiave.
Concedi all'account di servizio Memorystore l'accesso alla chiave.
Vai a un progetto e crea un'istanza Memorystore for Redis con CMEK abilitato nella stessa regione del portachiavi e della chiave.
L'istanza Memorystore for Redis è ora attivata con CMEK.
Creazione di una chiave e di un keyring
Segui le istruzioni per creare un portachiavi e creare una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Redis. La chiave può provenire da un progetto diverso, purché la chiave si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrica.
Concessione all'account di servizio dell'accesso alla chiave
Per creare un'istanza Redis che utilizza prima CMEK, devi concedere una l'accesso specifico a un account di servizio Memorystore alla chiave. Concedi l'accesso all'account di servizio Memorystore che usa i seguenti formato:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
Console
Quando utilizzi la console, concedi all'account di servizio l'accesso alla chiave come parte della procedura per creare un'istanza Redis che utilizza CMEK.
gcloud
Per concedere all'account di servizio l'accesso alla chiave, esegui il seguente comando sostituendo VARIABLES con i valori appropriati:
gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \ --location=[REGION_ID] \ --keyring=[KMS_KEYRING_ID] \ --member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Creazione di un'istanza Memorystore for Redis che utilizza CMEK
Per creare un'istanza con chiavi di crittografia gestite dal cliente:
Console
Per iniziare, devi avere un portachiavi e una chiave nella stessa regione in cui vuoi creare l'istanza Memorystore.
Segui le istruzioni riportate in Creare un'istanza Redis fino a quando non raggiungi il passaggio per attivare una chiave di crittografia gestita dal cliente, quindi torna a queste istruzioni.
Seleziona Usa una chiave di crittografia gestita dal cliente (CMEK).
Utilizza il menu a discesa per selezionare la chiave.
Se all'account di servizio Memorystore non è stato concesso le autorizzazioni di cui ha bisogno, compare una casella di testo con la scritta:
The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.- Fai clic sul pulsante Concedi per concedere l'autorizzazione del ruolo all'account di servizio Memorystore.
Completa la selezione delle configurazioni desiderate per l'istanza e fai clic il pulsante Crea per creare il tuo Memorystore for Redis abilitato per CMEK in esecuzione in un'istanza Compute Engine.
gcloud
Per creare un'istanza che utilizza chiavi di crittografia gestite dal cliente, inserisci seguente comando, sostituendo VARIABLES con i valori appropriati:
gcloud beta redis instances create [INSTANCE_ID] --size=[SIZE] \ --region=[REGION_ID] \ --customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]
Visualizzazione delle informazioni chiave per un'istanza con CMEK abilitato
Segui queste istruzioni per vedere se CMEK è abilitata per la tua istanza e per visualizza la chiave attiva.
Console
Nella console Google Cloud, vai alla pagina Istanze Memorystore for Redis.
Visualizza la pagina Dettagli istanza per la tua istanza facendo clic sul tuo ID istanza.
Fai clic sulla scheda Sicurezza.
La sezione Crittografia con una chiave gestita dal cliente contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se questa sezione non viene visualizzata, CMEK non è abilitata per la tua istanza.
gcloud
Per verificare se la CMEK è abilitata e vedere il riferimento chiave, visualizza la
customerManagedKey eseguendo questo comando:
gcloud beta redis instances describe INSTANCE_ID --project=PROJECT --region=REGION
Disattivazione e riattivazione delle versioni delle chiavi
Per informazioni su cosa succede quando disattivi, attivi, elimini o riattivi una versione della chiave, consulta Comportamento dell'eliminazione/disattivazione di una versione della chiave CMEK.
Per istruzioni su come disattivare e riattivare le versioni delle chiavi, consulta Abilitazione e disattivazione delle versioni delle chiavi.
Per istruzioni su come disattivare e riattivare le versioni delle chiavi, consulta Distruzione e ripristino delle versioni delle chiavi.
Passaggi successivi
- Scopri di più su Redis AUTH.
- Scopri di più sulla crittografia dei dati in transito.