שימוש במפתחות הצפנה בניהול הלקוח (CMEK)

כשמשתמשים במפתחות הצפנה בניהול הלקוח (CMEK), יש שליטה במפתחות. כך אתם יכולים לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה הסימטריים (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud Key Management Service‏ (KMS).

לפני שמתחילים

  1. מוודאים שיש לכם תפקיד אדמין ב-Redis בחשבון המשתמש.

    לדף IAM

תהליך העבודה ליצירת אשכול שמשתמש ב-CMEK

  1. יוצרים אוסף מפתחות ומפתח במיקום שבו רוצים שהאשכול יהיה ב-Memorystore for Redis Cluster.

  2. מעתיקים או רושמים את שם המפתח (KEY_NAME), את המיקום של המפתח ואת השם של מחזיק המפתחות (KEY_RING). תצטרכו את המידע הזה כשתעניקו לחשבון השירות גישה למפתח.

  3. מעניקים לחשבון השירות של Memorystore for Redis Cluster גישה למפתח.

  4. עוברים לפרויקט ויוצרים אשכול ב-Memorystore for Redis Cluster עם הפעלת CMEK באותו אזור שבו נמצאים אוסף המפתחות והמפתח.

האפשרות CMEK מופעלת עכשיו באשכול.

יצירה של אוסף מפתחות ומפתח

יוצרים אוסף מפתחות ומפתח. שניהם צריכים להיות באותו אזור כמו האשכול ב-Memorystore for Redis Cluster. המפתח יכול להיות מפרויקט אחר, כל עוד הוא נמצא באותו אזור. בנוסף, המפתח חייב להשתמש באלגוריתם הצפנה סימטרי.

אחרי שיוצרים את אוסף המפתחות ואת המפתח, מעתיקים או רושמים את KEY_NAME, את מיקום המפתח ואת KEY_RING. המידע הזה נדרש כשנותנים לחשבון השירות גישה למפתח.

מעניקים לחשבון השירות של Memorystore for Redis Cluster גישה למפתח

כדי ליצור אשכול ב-Memorystore for Redis Cluster שמשתמש ב-CMEK, צריך להעניק לחשבון שירות ספציפי של Memorystore for Redis Cluster גישה למפתח.

אפשר להעניק לחשבון השירות גישה למפתח באמצעות ה-CLI של gcloud. כדי להעניק גישה לחשבון השירות, משתמשים בפורמט הבא:

  service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

gcloud

כדי לתת לחשבון השירות גישה למפתח, משתמשים בפקודה gcloud kms keys add-iam-policy-binding.

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

מחליפים את הפרטים הבאים:

  • PROJECT_ID: המזהה או המספר של הפרויקט שמכיל את מחזיק המפתחות
  • REGION_ID: האזור שבו נמצא אוסף המפתחות
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח
  • KEY_NAME: השם של המפתח שרוצים להעניק לו גישה לחשבון השירות
  • PROJECT_NUMBER: המזהה או המספר של הפרויקט שמכיל את חשבון השירות

יצירת אשכול שמשתמש ב-CMEK

אפשר ליצור אשכול שמשתמש ב-CMEK באמצעות ה-CLI של gcloud.

gcloud

כדי ליצור אשכול שמשתמש ב-CMEK, משתמשים בפקודה gcloud redis clusters create.

gcloud redis clusters create CLUSTER_ID \
--project=PROJECT_NAME \
--region=REGION_ID \
--network=NETWORK_ID \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-mode=PERSISTENCE_MODE

מחליפים את הפרטים הבאים:

  • CLUSTER_ID: המזהה של האשכול שאתם יוצרים.
  • PROJECT_NAME: השם של הפרויקט שבו רוצים ליצור את האשכול.
  • REGION_ID: המזהה של האזור שבו רוצים שהאשכול יהיה ממוקם.
  • NETWORK_ID: המזהה של הרשת שרוצים להשתמש בה כדי ליצור את האשכול.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • KEY_NAME: השם של המפתח.
  • SHARD_NUMBER: מספר הרסיסים שרוצים שיהיו באשכול.
  • PERSISTENCE_MODE: מצב ההתמדה של האשכול. אפשר להגדיר את המצב הזה לאחד מהערכים הבאים:
    • aof: מפעילים את ההתמדה מבוססת-קובץ להוספה בלבד (AOF) באשכול.
    • disabled: משביתים את ההתמדה באשכול.
    • rdb: מפעילים את ההתמדה מבוססת-Redis Database ‏ (RDB) עבור האשכול.

הצגת מידע חשוב על אשכולות עם הפעלת CMEK

אפשר להציג מידע על אשכול עם CMEK באמצעות ה-CLI של gcloud. המידע הזה כולל את השאלה אם CMEK מופעל באשכול ואת המפתח הפעיל.

gcloud

כדי לוודא שהצפנת CMEK מופעלת ולראות את הפניה למפתח, משתמשים בפקודה gcloud redis clusters describe כדי להציג את השדות encryptionInfo ו-kmsKey.

gcloud redis clusters describe CLUSTER_ID \
--project=PROJECT_NAME \
--region=REGION_ID

מחליפים את הפרטים הבאים:

  • CLUSTER_ID: המזהה של האשכול שרוצים להציג מידע לגביו.
  • PROJECT_NAME: השם של הפרויקט שמכיל את האשכול
  • REGION_ID: המזהה של האזור שבו נמצא האשכול

ניהול גרסאות של מפתחות

מידע על מה שקורה כשמשביתים, משמידים, מחליפים, מפעילים ומשחזרים גרסת מפתח CMEK זמין במאמר התנהגות של גרסת מפתח CMEK.

הוראות להשבתה ולהפעלה מחדש של גרסאות מפתח מופיעות במאמר הפעלה והשבתה של גרסאות מפתח.

הוראות להשמדה ולשחזור של גרסאות מפתח מופיעות במאמר השמדה ושחזור של גרסאות מפתח.

המאמרים הבאים