כברירת מחדל, ב-Memorystore for Redis Cluster התוכן של הלקוחות מוצפן במנוחה. Memorystore for Redis Cluster מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.
אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Memorystore for Redis Cluster. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.
אחרי שמגדירים את המשאבים באמצעות CMEK, חוויית הגישה למשאבים של Memorystore for Redis Cluster דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).
למי כדאי להשתמש ב-CMEK?
הצפנת CMEK מיועדת לארגונים שבהם יש נתונים רגישים או נתונים בפיקוח שחייבים להיות מוצפנים. מידע נוסף על השימוש ב-CMEK להצפנת הנתונים האלה זמין במאמר האם כדאי להשתמש ב-CMEK.
הצפנה בניהול Google לעומת הצפנה בניהול הלקוח
בעזרת התכונה CMEK תוכלו להשתמש במפתחות קריפטוגרפיים משלכם לנתונים באחסון ב-Memorystore for Redis Cluster. ב-Memorystore for Redis Cluster, במערכות עם CMEK, Google משתמשת במפתחות שלכם כדי לגשת לכל הנתונים במצב מנוחה.
Memorystore משתמש במפתחות להצפנת נתונים (DEK) ובמפתחות להצפנת מפתחות (KEK) בניהול Google כדי להצפין נתונים ב-Memorystore for Redis Cluster. יש שתי רמות של הצפנה:
- הצפנת DEK: Memorystore משתמש במפתחות DEK כדי להצפין נתונים ב-Memorystore for Redis Cluster.
- הצפנת KEK: Memorystore משתמש במפתחות KEK כדי להצפין מפתחות DEK.
האשכול ב-Memorystore for Redis Cluster מאחסן את ה-DEK המוצפן לצד הנתונים המוצפנים בדיסק, ו-Google מנהלת את ה-KEK של Google. מפתח ה-CMEK הוא מפתח ה-KEK שעוטף את מפתח ה-DEK. באמצעות CMEK אפשר ליצור, להשבית או להרוס, לסובב ולהפעיל או לשחזר את ה-KEK.
בתרשימים הבאים מוצג איך הצפנת נתונים במנוחה פועלת בתוך אשכול כשמשתמשים בהצפנה ש-Google מנהלת כברירת מחדל לעומת CMEK.
ללא CMEK
עם CMEK
כשמפענחים נתונים שעברו הצפנה באמצעות CMEK, Memorystore משתמש במפתח להצפנת מפתחות (KEK) מ-Cloud Key Management Service כדי לפענח את המפתח להצפנת נתונים (DEK), ובמפתח הלא מוצפן להצפנת נתונים כדי לפענח את הנתונים באחסון.

תמחור
החיוב על אשכול עם CMEK ב-Memorystore for Redis Cluster זהה לחיוב על כל אשכול אחר, ואין עלויות נוספות. מידע נוסף מופיע במאמר בנושא תמחור של Memorystore for Redis Cluster.
משתמשים ב-Cloud KMS API כדי לנהל את ה-CMEK. כשיוצרים אשכול שמשתמש ב-CMEK, Memorystore משתמש במפתח מעת לעת כדי להצפין נתונים.
תחויבו על ידי Cloud KMS בעלות המפתח ועל פעולות ההצפנה והפענוח כש-Memorystore for Redis Cluster משתמש במפתח. מידע נוסף זמין במאמר תמחור של Cloud KMS.
אילו נתונים מוצפנים באמצעות CMEK?
מפתחות CMEK מצפינים את סוגי נתוני הלקוחות הבאים שמאוחסנים באחסון קבוע:
- גיבויים: גיבויים מאפשרים לכם לשחזר את הנתונים לנקודת זמן מסוימת, ולייצא ולנתח נתונים. גיבויים שימושיים גם לתרחישים של תוכנית התאוששות מאסון (DR), העברת נתונים, שיתוף נתונים ותאימות.
- עמידות:
Memorystore for Redis Cluster תומך בשני סוגים של עמידות:
- התמדה ב-RDB: התכונה של מסד הנתונים Redis (RDB) מגנה על הנתונים שלכם על ידי שמירת תמונות מצב של הנתונים באחסון עמיד.
- שמירת נתונים בפורמט AOF: התכונה הזו נותנת עדיפות לעמידות הנתונים. הוא שומר את הנתונים באופן עמיד על ידי תיעוד כל פקודת כתיבה בקובץ יומן שנקרא Append-Only File (קובץ להוספה בלבד, AOF). אם מתרחשת כשל במערכת או הפעלה מחדש, השרת מפעיל מחדש את הפקודות בקובץ ה-AOF באופן רציף כדי לשחזר את הנתונים.
מידע על חשבונות שירות
כשיוצרים אשכול עם CMEK, צריך להקצות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter לחשבון השירות של Memorystore for Redis Cluster בפורמט הבא:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
ההרשאה הזו מאפשרת לחשבון השירות לבקש גישה למפתחות מ-Cloud KMS.
הוראות למתן ההרשאה הזו לחשבון השירות מופיעות במאמר מתן גישה לחשבון השירות של Memorystore for Redis Cluster למפתח.
מידע על מפתחות
ב-Cloud KMS, צריך ליצור אוסף מפתחות עם מפתח קריפטוגרפי שמשתמש באלגוריתם הצפנה סימטרי. כשיוצרים אשכול ב-Memorystore for Redis Cluster, בוחרים את המפתח הזה כדי להצפין את האשכול. אתם יכולים ליצור פרויקט אחד גם למפתחות וגם לאשכולות, או פרויקטים שונים לכל אחד מהם.
התכונה CMEK זמינה בכל מיקומי האשכולות. צריך ליצור את אוסף המפתחות ואת המפתח באותו אזור שבו רוצים ליצור את האשכול. במקרה של אשכול במספר אזורים, צריך להגדיר את אוסף המפתחות ואת המפתח לאותו מיקום כמו האשכול. אם האזורים או המיקומים לא תואמים, הבקשה ליצירת האשכול תיכשל.
מפתח ה-CMEK משתמש בפורמט הבא למזהה המשאב של המפתח:
projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
מפתחות חיצוניים
אתם יכולים להשתמש ב-Cloud External Key Manager (Cloud EKM) כדי להצפין נתונים ב-Google Cloud באמצעות מפתחות חיצוניים שאתם מנהלים.
כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה על הזמינות של המפתח שמנוהל חיצונית. אם המפתח לא זמין כשיוצרים את האשכול, האשכול לא נוצר.
מידע נוסף על שיקולים לשימוש במפתחות חיצוניים זמין במאמר בנושא Cloud External Key Manager.
איך אפשר למנוע גישה לנתונים מוצפנים באמצעות CMEK באופן קבוע?
יכול להיות שיהיו מצבים שבהם תרצו להפוך נתונים שהוצפנו באמצעות CMEK לבלתי נגישים באופן קבוע. כדי לעשות את זה, משמידים את גרסת המפתח. מידע נוסף על השמדה של גרסאות המפתח זמין במאמר השמדה ושחזור של גרסאות מפתח.
התנהגות של גרסת מפתח CMEK
בקטע הזה מוסבר מה קורה כשמשביתים, משמידים, מבצעים רוטציה, מפעילים ומשחזרים גרסה של מפתח.
השבתה או השמדה של גרסת מפתח CMEK
אם משביתים או משמידים את גרסת המפתח הראשית של מפתח CMEK, התנאים הבאים חלים על גיבויים ועל נתונים קבועים.
גיבויים
- אי אפשר ליצור גיבויים לפי דרישה או באופן אוטומטי. עם זאת, אם מפעילים גרסה ישנה יותר של מפתח, אפשר לגשת לכל הגיבויים שיצרתם באמצעות גרסת המפתח הזו.
- אי אפשר לעדכן או להפעיל מחדש את הגיבויים האוטומטיים עד שמפעילים או משחזרים את הגרסה הראשית של המפתח.
התמדה
- אם מגדירים את האשכול לשימוש בעמידות, Memorystore for Redis Cluster משבית את תכונת העמידות כשגרסת המפתח לא זמינה. לא נחייב אתכם יותר על התכונה הזו.
- ב-Memorystore for Redis Cluster, לא מתבצעת מחיקה של נתונים חדשים מהאחסון הקבוע באמצעות CMEK.
- Memorystore for Redis Cluster לא יכול לקרוא נתונים קיימים שנמצאים באחסון הקבוע.
- אי אפשר לעדכן או להפעיל מחדש את ההתמדה עד שמפעילים או משחזרים את גרסת המפתח הראשית.
אם מפעילים את גרסת המפתח הראשית של CMEK, אבל משביתים או משמידים גרסת מפתח ישנה יותר, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
- אתם יכולים ליצור גיבויים. עם זאת, אם הגיבוי מוצפן באמצעות גרסה ישנה יותר של מפתח שהושבת או נהרס, לא תהיה גישה לגיבוי.
- אם מפעילים את ההתמדה, התכונה הזו נשארת מופעלת. אם הגרסה הישנה יותר של המפתח שמשמשת להתמדה מושבתת או מושמדת, Memorystore for Redis Cluster מבצע עדכון שדומה לזה שמשמש בתחזוקה ומצפין מחדש את הנתונים באמצעות הגרסה של המפתח הראשי.
ביצוע רוטציה של הגרסה הראשית של מפתח CMEK
אם מבצעים רוטציה של גרסת המפתח הראשי של CMEK ויוצרים גרסת מפתח ראשי חדשה, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
- הגרסה האחרונה של המפתח הראשי של ה-CMEK מצפינה גיבויים חדשים.
- לגיבויים קיימים לא מתבצעת הצפנה מחדש.
- כדי לשמור על העקביות, הצמתים לא מבצעים פעולה כלשהי. הצמתים ממשיכים להשתמש בגרסה הישנה יותר של המפתח עד לאירוע התחזוקה הבא.
הצפנה מחדש של נתונים שמוגנים באמצעות CMEK באופן ידני
Memorystore for Redis Cluster לא תומך בהצפנה מחדש של נתונים קיימים במנוחה לפי דרישה. אי אפשר להפעיל תהליך באופן ידני כדי להשתמש בגרסה חדשה של מפתח להצפנה מחדש של גיבויים קיימים או קבצים פעילים של נתונים קבועים. עם זאת, אפשר להשתמש בגרסת המפתח החדשה כדי להצפין נתונים חדשים שנכתבו.
אם מחליפים מפתח וצריך לאלץ אשכול להשתמש בגרסה החדשה של המפתח, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
גיבויים
אי אפשר להצפין מחדש גיבויים קיימים. אם התאימות מחייבת שכל הנתונים יוצפנו באמצעות המפתח החדש ביותר, צריך ליצור גיבוי שמשתמש במפתח הזה, ואז למחוק את הגיבויים הקיימים באופן ידני. אפשר גם לייצא את הגיבוי הזה לקטגוריה של Cloud Storage כדי להשתמש במפתח ההצפנה של Cloud Storage.
התמדה
כדי לכפות הפעלה של מפתח KMS חדש, אפשר להפעיל תחזוקה מדומה באשכול. אחרי שתשלימו את הפעולה הזו, Memorystore for Redis Cluster יוכל לכתוב נתוני קביעות באמצעות הגרסה המעודכנת של המפתח הראשי.
החלפה של מפתח KMS מוגן
אם מחליפים מפתח KMS מוגן במפתח KMS אחר או בגרסה חדשה של מפתח ראשי, השינוי הזה יחול ב-Memorystore for Redis Cluster רק על פעולות עתידיות.
החלפה של מפתח KMS מוגן משפיעה על המשאבים שלכם בדרכים הבאות:
- גיבויים: כל הגיבויים הבאים מוצפנים באמצעות מפתח ה-KMS החדש. הגיבויים הקיימים שומרים על המפתחות המקוריים שלהם.
- התמדה: בפעם הבאה שהאשכול יופעל מחדש או שיתרחש בו אירוע תחזוקה, ייעשה שימוש במפתח ה-KMS החדש.
- מטמון ראשי: אין השפעה להחלפת המפתח הזה. הצפנה באמצעות CMEK לא חלה על נתונים בזיכרון, כי הם לא נחשבים נתונים במנוחה.
הפעלה או שחזור של גרסת מפתח CMEK ראשית
אם מפעילים או משחזרים את גרסת המפתח הראשי של מפתח CMEK, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
- אפשר ליצור שוב גיבויים לפי דרישה וגיבויים אוטומטיים.
- ב-Memorystore for Redis Cluster מתבצע עדכון שדומה לזה שמשמש בתחזוקה, והתכונה 'התמדה' מופעלת מחדש.
מגבלות
ההגבלות הבאות חלות כשמשתמשים ב-CMEK עם Memorystore for Redis Cluster:
- אי אפשר להפעיל CMEK באשכול קיים.
- המפתח, אוסף המפתחות והאשכול צריכים להיות באותו אזור.
- חובה להשתמש באלגוריתם הצפנה סימטרי בשביל המפתח.
- קצב ההצפנה והפענוח של Cloud KMS תלוי במכסה.
מידע על אילוצים של מדיניות הארגון לגבי CMEK
Memorystore for Redis Cluster תומך באילוצים של מדיניות הארגון לגבי CMEK. באמצעות האילוצים האלה, אתם יכולים לאכוף הגנה באמצעות CMEK על האשכולות שלכם ולהגביל את מפתחות Cloud KMS שבהם אתם יכולים להשתמש להגנה הזו.
אפשר להגדיר את האילוצים הבאים של מדיניות הארגון:
-
constraints/gcp.restrictNonCmekServices: משתמשים באילוץ הזה כדי לאכוף הגנה באמצעות CMEK על האשכולות. אם Memorystore for Redis Cluster API מופיע ברשימת השירותים של מדיניותDenyעבור האילוץ הזה, לא תוכלו ליצור אשכולות שלא מוגנים באמצעות CMEK. -
constraints/gcp.restrictCmekCryptoKeyProjects: משתמשים באילוץ הזה כדי להגביל את מפתחות Cloud KMS שאפשר להשתמש בהם להגנה באמצעות CMEK. אם מגדירים את האילוץ הזה, האשכולות שמשתמשים בהצפנת CMEK חייבים להשתמש במפתח מפרויקט, מתיקייה או מארגון מורשים.