Per impostazione predefinita, Memorystore for Redis Cluster cripta i contenuti inattivi dei clienti at rest. Memorystore for Redis Cluster gestisce la crittografia senza che tu debba eseguire ulteriori azioni. Questa opzione è chiamata crittografia predefinita di Google.
Se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Memorystore for Redis Cluster. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi anche visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Memorystore for Redis Cluster è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Chi dovrebbe utilizzare le chiavi CMEK?
Le chiavi CMEK sono destinate alle organizzazioni che dispongono di dati sensibili o regolamentati che devono essere criptati. Per ulteriori informazioni su se utilizzare le chiavi CMEK per criptare questi dati, consulta Decidere se utilizzare le chiavi CMEK.
Crittografia gestita da Google rispetto alla crittografia gestita dal cliente
La funzionalità CMEK ti consente di utilizzare le tue chiavi di crittografia per i dati at-rest in Memorystore for Redis Cluster. Per i cluster abilitati per le chiavi CMEK in Memorystore for Redis Cluster, Google utilizza le tue chiavi per accedere a tutti i dati at-rest.
Memorystore utilizza chiavi di crittografia dei dati (DEK) e chiavi di crittografia della chiave (KEK) gestite da Google per criptare i dati in Memorystore for Redis Cluster. Esistono due livelli di crittografia:
- Crittografia DEK:Memorystore utilizza le chiavi DEK per criptare i dati in Memorystore for Redis Cluster.
- Crittografia KEK:Memorystore utilizza le chiavi KEK per criptare le chiavi DEK.
Il cluster in Memorystore for Redis Cluster archivia la chiave DEK criptata insieme ai dati criptati sul disco e Google gestisce la chiave KEK di Google. La chiave CMEK è la chiave KEK che esegue il wrapping della chiave DEK. Le chiavi CMEK ti consentono di creare, disabilitare o eliminare, ruotare e abilitare o ripristinare la chiave KEK.
I seguenti diagrammi mostrano come funziona la crittografia dei dati at-rest all'interno di un cluster quando si utilizza la crittografia predefinita gestita da Google rispetto alle chiavi CMEK.
Senza chiavi CMEK
Con chiavi CMEK
Quando decripta i dati sottoposti a wrapping con le chiavi CMEK, Memorystore utilizza la chiave KEK di Cloud Key Management Service per decriptare la chiave DEK e la chiave DEK non criptata per decriptare i dati at-rest.

Prezzi
Memorystore for Redis Cluster addebita un cluster abilitato per le chiavi CMEK come qualsiasi altro cluster; non sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta la pagina Prezzi di Memorystore for Redis Cluster.
Utilizzi l'API Cloud KMS per gestire le chiavi CMEK. Quando crei un cluster che utilizza le chiavi CMEK, Memorystore utilizza la chiave periodicamente per criptare i dati.
Cloud KMS ti addebita il costo della chiave e le operazioni di crittografia e decrittografia quando Memorystore for Redis Cluster utilizza la chiave. Per ulteriori informazioni, consulta la pagina Prezzi di Cloud KMS.
Quali dati vengono criptati utilizzando le chiavi CMEK?
Le chiavi CMEK criptano i seguenti tipi di dati dei clienti archiviati nello spazio di archiviazione permanente:
- Backup: i backup consentono di recuperare i dati a un momento specifico, nonché di esportare e analizzare i dati. I backup sono utili anche per gli scenari di ripristino di emergenza, migrazione dei dati, condivisione dei dati e conformità.
- Persistenza:
Memorystore for Redis Cluster supporta due tipi di persistenza:
- Persistenza RDB:la funzionalità del database Redis (RDB) protegge i dati salvando gli snapshot dei dati nello spazio di archiviazione durevole.
- Persistenza AOF:questa funzionalità dà la priorità alla durabilità dei dati. Archivia i dati in modo durevole registrando ogni comando di scrittura in un file di log denominato File di aggiunta (AOF). In caso di errore o riavvio del sistema, il server riproduce i comandi del file AOF in sequenza per ripristinare i dati.
Informazioni sugli account di servizio
Quando crei un cluster con le chiavi CMEK, devi concedere il ruolo
cloudkms.cryptoKeyEncrypterDecrypter all'account di servizio di Memorystore for Redis Cluster
con il seguente formato:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
La concessione di questa autorizzazione consente all'account di servizio di richiedere l'accesso alla chiave da Cloud KMS.
Per istruzioni su come concedere questa autorizzazione all'account di servizio, consulta Concedere all'account di servizio di Memorystore for Redis Cluster l'accesso alla chiave.
Informazioni sulle chiavi
In Cloud KMS, devi creare un portachiavi con una chiave di crittografia che utilizza un algoritmo di crittografia simmetrica. Quando crei un cluster in Memorystore for Redis Cluster, seleziona questa chiave per criptare il cluster. Puoi creare un progetto per le chiavi e i cluster oppure progetti diversi per ciascuno di essi.
Le chiavi CMEK sono disponibili in tutte le località dei cluster. Devi creare il portachiavi e la chiave nella stessa regione in cui vuoi creare il cluster. Per un cluster multiregionale, devi impostare il portachiavi e la chiave nella stessa località del cluster. Se le regioni o le località non corrispondono, una richiesta di creazione del cluster non va a buon fine.
Per l'ID risorsa della chiave, le chiavi CMEK utilizzano il seguente formato:
projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Chiavi esterne
Puoi utilizzare Cloud External Key Manager (Cloud EKM) per criptare i dati utilizzando chiavi esterne gestite da te.Google Cloud
Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente. Se la chiave non è disponibile quando crei il cluster, il cluster non viene creato.
Per ulteriori considerazioni sull'utilizzo delle chiavi esterne, consulta Cloud External Key Manager.
Come rendere inaccessibili in modo permanente i dati criptati con le chiavi CMEK?
Potresti trovarti in situazioni in cui vuoi rendere inaccessibili in modo permanente i dati criptati con le chiavi CMEK. Per farlo, elimina la versione della chiave. Per ulteriori informazioni sull'eliminazione delle versioni della chiave, consulta Eliminare e ripristinare le versioni delle chiavi.
Comportamento di una versione della chiave CMEK
Questa sezione fornisce informazioni su cosa succede quando disabiliti, elimini, ruoti, abiliti e ripristini una versione della chiave.
Disabilitare o eliminare una versione della chiave CMEK
Se disabiliti o elimini la versione della chiave primaria della chiave CMEK, si applicano le seguenti condizioni per i backup e la persistenza.
Backup
- Non puoi creare backup on demand o automatici backups. Tuttavia, se abiliti una versione precedente della chiave, puoi accedere a tutti i backup creati utilizzando questa versione della chiave.
- Non puoi aggiornare o riabilitare i backup automatici finché non abiliti o ripristini la versione della chiave primaria.
Persistenza
- Se configuri il cluster in modo che utilizzi la persistenza, Memorystore for Redis Cluster disattiva la funzionalità di persistenza quando la versione della chiave non è più disponibile. Non ti verrà più addebitato il costo di questa funzionalità.
- Memorystore for Redis Cluster non esegue il flush dei nuovi dati nello spazio di archiviazione permanente utilizzando la chiave CMEK.
- Memorystore for Redis Cluster non può leggere i dati esistenti presenti nello spazio di archiviazione permanente.
- Non puoi aggiornare o riabilitare la persistenza finché non abiliti o ripristini la versione della chiave primaria.
Se abiliti la versione della chiave primaria della chiave CMEK, ma disabiliti o elimini una versione precedente della chiave, si applicano le seguenti condizioni per i backup e la persistenza:
- Puoi creare backup. Tuttavia, se un backup viene criptato con una versione precedente della chiave disabilitata o eliminata, il backup rimane inaccessibile.
- Se abiliti la persistenza, questa funzionalità rimane abilitata. Se la versione precedente della chiave utilizzata nella persistenza è disabilitata o eliminata, allora Memorystore for Redis Cluster esegue un aggiornamento simile a quello utilizzato in manutenzione e ricripta i dati con la versione della chiave primaria.
Ruotare la versione della chiave CMEK primaria
Se ruoti la versione della chiave primaria della chiave CMEK e crei una nuova versione della chiave primaria, si applicano le seguenti condizioni per i backup e la persistenza:
- L'ultima versione della chiave primaria della chiave CMEK cripta i nuovi backup.
- Per i backup esistenti, non viene eseguita alcuna ricrittografia.
- Per la persistenza, i nodi non eseguono alcuna azione. I nodi continuano a utilizzare la versione precedente della chiave fino al successivo evento di manutenzione.
Ricriptare manualmente i dati protetti dalle chiavi CMEK
Memorystore for Redis Cluster non supporta il wrapping on demand dei dati at-rest esistenti. Non puoi attivare manualmente un processo per utilizzare una nuova versione della chiave per ricriptare i backup esistenti o i file di persistenza attivi. Tuttavia, puoi utilizzare la nuova versione della chiave per criptare i dati appena scritti.
Se ruoti una chiave e devi forzare un cluster a utilizzare la nuova versione della chiave, si applicano le seguenti condizioni per i backup e la persistenza:
Backup
Non puoi eseguire il rewrapping dei backup esistenti. Se la conformità richiede che tutti i dati vengano criptati con la chiave più recente, crea un backup che utilizzi questa chiave, quindi elimina manualmente i backup esistenti. Puoi anche esportare questo backup in un bucket Cloud Storage in modo che venga utilizzata la chiave di crittografia di Cloud Storage.
Persistenza
Per forzare il cluster a utilizzare una nuova chiave KMS, puoi eseguire la manutenzione simulata sul cluster. Al termine di questa operazione, Memorystore for Redis Cluster può scrivere i dati di persistenza utilizzando la versione della chiave primaria aggiornata.
Sostituire una chiave KMS protetta
Se sostituisci una chiave KMS protetta con una chiave KMS diversa o con una nuova versione della chiave primaria, Memorystore for Redis Cluster applica questa modifica solo alle operazioni future.
La sostituzione di una chiave KMS protetta influisce sulle risorse nei seguenti modi:
- Backup: tutti i backup successivi vengono criptati utilizzando la nuova chiave KMS. I backup esistenti mantengono le chiavi originali.
- Persistenza: la prossima volta che il cluster viene riavviato o si verifica un evento di manutenzione, viene utilizzata la nuova chiave KMS.
- Cache primaria: la sostituzione di questa chiave non ha alcun impatto. Le chiavi CMEK non criptano i dati in memoria perché questi dati non sono considerati dati at-rest.
Abilitare o ripristinare la versione della chiave CMEK primaria
Se abiliti o ripristini la versione della chiave primaria della chiave CMEK, si applicano le seguenti condizioni per i backup e la persistenza:
- Puoi creare di nuovo backup on demand e automatici.
- Memorystore for Redis Cluster esegue un aggiornamento simile a quello utilizzato nella manutenzione e riabilita la persistenza.
Limitazioni
Quando utilizzi le chiavi CMEK con Memorystore for Redis Cluster, si applicano le seguenti limitazioni:
- Non puoi abilitare le chiavi CMEK su un cluster esistente.
- La chiave, il portachiavi e il cluster devono trovarsi nella stessa regione.
- Devi utilizzare l'algoritmo di crittografia simmetrica per la chiave.
- Le tariffe di crittografia e decrittografia di Cloud KMS sono soggette a una quota.
Informazioni sui vincoli dei criteri dell'organizzazione per le chiavi CMEK
Memorystore for Redis Cluster supporta i vincoli dei criteri dell'organizzazione per le chiavi CMEK. Utilizzando questi vincoli, puoi applicare la protezione delle chiavi CMEK per i cluster e limitare le chiavi Cloud KMS che puoi utilizzare per questa protezione.
Puoi configurare i seguenti vincoli dei criteri dell'organizzazione:
constraints/gcp.restrictNonCmekServices: utilizza questo vincolo per applicare la protezione delle chiavi CMEK per i cluster. Se l'API Memorystore for Redis Cluster si trova nell'elenco dei servizi dei criteriDenyper questo vincolo, non puoi creare cluster non protetti dalle chiavi CMEK.constraints/gcp.restrictCmekCryptoKeyProjects: utilizza questo vincolo per limitare le chiavi Cloud KMS che puoi utilizzare per la protezione delle chiavi CMEK. Se configuri questo vincolo, i cluster che utilizzano la crittografia delle chiavi CMEK devono utilizzare una chiave di un progetto, una cartella o un'organizzazione consentiti.