Dengan menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Anda memiliki kontrol atas kunci Anda. Dengan demikian, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud Key Management Service (KMS).
Sebelum memulai
Pastikan Anda memiliki peran Admin Redis di akun pengguna Anda.
Alur kerja untuk membuat cluster yang menggunakan CMEK
Buat key ring dan kunci di lokasi tempat Anda ingin cluster di Memorystore for Redis Cluster berada.
Salin atau tulis nama kunci (
KEY_NAME), lokasi kunci, dan nama key ring (KEY_RING). Anda memerlukan informasi ini saat memberi akun layanan akses ke kunci.Beri akun layanan Memorystore for Redis Cluster akses ke kunci.
Buka project dan buat cluster di Memorystore for Redis Cluster dengan CMEK diaktifkan di region yang sama dengan key ring dan kunci.
Cluster Anda kini diaktifkan dengan CMEK.
Membuat key ring dan kunci
Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan cluster Anda di Memorystore for Redis Cluster. Kunci dapat berasal dari project yang berbeda, asalkan kunci berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.
Setelah Anda membuat key ring dan kunci, salin atau catat KEY_NAME, lokasi kunci, dan KEY_RING. Anda memerlukan informasi ini saat memberikan akses
akun layanan ke kunci.
Memberi akun layanan Memorystore for Redis Cluster akses ke kunci
Sebelum dapat membuat cluster di Memorystore for Redis Cluster yang menggunakan CMEK, Anda harus memberikan akses akun layanan Memorystore for Redis Cluster tertentu ke kunci.
Anda dapat memberikan akses akun layanan ke kunci menggunakan gcloud CLI. Untuk memberikan akses ke akun layanan, gunakan format berikut:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
gcloud
Untuk memberikan akses akun layanan ke kunci, gunakan perintah gcloud kms keys add-iam-policy-binding.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Lakukan penggantian berikut:
- PROJECT_ID: ID atau nomor project yang berisi ring kunci
- REGION_ID: region tempat key ring berada
- KEY_RING: nama key ring yang berisi kunci
- KEY_NAME: nama kunci yang aksesnya Anda berikan ke akun layanan
- PROJECT_NUMBER: ID atau nomor project yang berisi akun layanan
Membuat cluster yang menggunakan CMEK
Anda dapat membuat cluster yang menggunakan CMEK dengan gcloud CLI.
gcloud
Untuk membuat cluster yang menggunakan CMEK, gunakan perintah gcloud redis clusters create.
gcloud redis clusters create CLUSTER_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK_ID \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Lakukan penggantian berikut:
- CLUSTER_ID: ID cluster yang Anda buat.
- PROJECT_NAME: nama project tempat Anda ingin membuat cluster.
- REGION_ID: ID region tempat Anda ingin cluster berada.
- NETWORK_ID: ID jaringan yang ingin Anda gunakan untuk membuat cluster.
- KEY_RING: nama key ring yang berisi kunci.
- KEY_NAME: nama kunci.
- SHARD_NUMBER: jumlah shard yang Anda inginkan untuk cluster.
- PERSISTENCE_MODE: mode persistensi untuk cluster. Anda dapat
menetapkan mode ini ke salah satu nilai berikut:
aof: Anda mengaktifkan persistensi berbasis File Hanya Tambah (AOF) untuk cluster.disabled: Anda menonaktifkan persistensi untuk cluster.rdb: Anda mengaktifkan persistensi berbasis Database Redis (RDB) untuk cluster.
Melihat informasi penting untuk cluster yang mendukung CMEK
Anda dapat melihat informasi tentang cluster yang mendukung CMEK menggunakan gcloud CLI. Informasi ini mencakup apakah CMEK diaktifkan untuk cluster Anda dan kunci aktif.
gcloud
Untuk memverifikasi apakah CMEK diaktifkan dan untuk melihat referensi kunci, gunakan perintah
gcloud redis clusters describe
untuk melihat kolom encryptionInfo dan kmsKey.
gcloud redis clusters describe CLUSTER_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Lakukan penggantian berikut:
- CLUSTER_ID: ID cluster yang informasinya ingin Anda lihat
- PROJECT_NAME: nama project yang berisi cluster
- REGION_ID: ID region tempat cluster berada
Mengelola versi kunci
Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.
Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.
Untuk mengetahui petunjuk tentang cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Langkah berikutnya
- Pelajari lebih lanjut pencadangan.
- Pelajari lebih lanjut persistensi.