Usar chaves de criptografia gerenciadas pelo cliente (CMEK)

Ao usar chaves de criptografia gerenciadas pelo cliente (CMEK), você tem controle sobre suas chaves. Isso dá a você controle sobre o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Em vez de o Google ser proprietário e gerente das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud Key Management Service (KMS).

Antes de começar

  1. Verifique se você tem a função de administrador do Redis na sua conta de usuário.

    Acessar a página do IAM

Fluxo de trabalho para criar um cluster que usa CMEK

  1. Crie um keyring e uma chave no local em que você quer que o cluster no Memorystore para Redis Cluster esteja.

  2. Copie ou anote o nome da chave (KEY_NAME), o local dela e o nome do keyring (KEY_RING). Você precisa dessas informações para conceder à conta de serviço o acesso à chave.

  3. Conceda à conta de serviço do cluster do Memorystore para Redis acesso à chave.

  4. Acesse um projeto e crie um cluster no Memorystore para Redis Cluster com a CMEK ativada na mesma região do keyring e da chave.

Seu cluster agora está ativado com CMEK.

Crie um keyring e uma chave.

Crie um keyring e uma chave. Ambos precisam estar na mesma região que o cluster no Memorystore para Redis Cluster. A chave pode ser de um projeto diferente, desde que esteja na mesma região. Além disso, a chave precisa usar o algoritmo de criptografia simétrica.

Depois de criar o keyring e a chave, copie ou anote o KEY_NAME, o local da chave e o KEY_RING. Você precisa dessas informações para conceder à conta de serviço o acesso à chave.

Conceda à conta de serviço do Memorystore for Redis Cluster acesso à chave

Antes de criar um cluster no Memorystore para Redis Cluster que use a CMEK, é necessário conceder a uma conta de serviço específica do Memorystore para Redis Cluster acesso à chave.

É possível conceder acesso à chave para a conta de serviço usando a CLI gcloud. Para conceder acesso à conta de serviço, use o seguinte formato:

  service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

gcloud

Para conceder acesso à chave para a conta de serviço, use o comando gcloud kms keys add-iam-policy-binding.

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Faça as seguintes substituições:

  • PROJECT_ID: o ID ou o número do projeto que contém o keyring
  • REGION_ID: a região em que o keyring está localizado.
  • KEY_RING: o nome do keyring que contém a chave
  • KEY_NAME: o nome da chave a que você está concedendo acesso à conta de serviço
  • PROJECT_NUMBER: o ID ou número do projeto que contém a conta de serviço

Criar um cluster que usa CMEK

É possível criar um cluster que usa a CMEK com a gcloud CLI.

gcloud

Para criar um cluster que usa a CMEK, use o comando gcloud redis clusters create.

gcloud redis clusters create CLUSTER_ID \
--project=PROJECT_NAME \
--region=REGION_ID \
--network=NETWORK_ID \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-mode=PERSISTENCE_MODE

Faça as seguintes substituições:

  • CLUSTER_ID: o ID do cluster que você está criando.
  • PROJECT_NAME: o nome do projeto em que você quer criar o cluster.
  • REGION_ID: o ID da região em que você quer que o cluster esteja localizado.
  • NETWORK_ID: o ID da rede que você quer usar para criar o cluster.
  • KEY_RING: o nome do keyring que contém a chave.
  • KEY_NAME: o nome da chave;
  • SHARD_NUMBER: o número de fragmentos que você quer ter para o cluster.
  • PERSISTENCE_MODE: o modo de persistência do cluster. Você pode definir esse modo como um dos seguintes valores:
    • aof: você ativa a persistência baseada em arquivo somente de anexação (AOF) para o cluster.
    • disabled: você desativa a persistência do cluster.
    • rdb: você ativa a persistência baseada em banco de dados do Redis (RDB) para o cluster.

Visualizar informações da chave em um cluster ativado para CMEK

É possível conferir informações sobre seu cluster habilitado para CMEK usando a gcloud CLI. Essas informações incluem se a CMEK está ativada para seu cluster e a chave ativa.

gcloud

Para verificar se a CMEK está ativada e conferir a referência da chave, use o comando gcloud redis clusters describe para ver os campos encryptionInfo e kmsKey.

gcloud redis clusters describe CLUSTER_ID \
--project=PROJECT_NAME \
--region=REGION_ID

Faça as seguintes substituições:

  • CLUSTER_ID: o ID do cluster sobre o qual você quer ver informações.
  • PROJECT_NAME: o nome do projeto que contém o cluster.
  • REGION_ID: o ID da região em que o cluster está localizado.

Gerenciar versões da chave

Para saber o que acontece quando você desativa, destrói, alterna, ativa e restaura uma versão de chave, consulte Comportamento de uma versão de chave da CMEK.

Para instruções sobre como desativar e reativar versões de chave, consulte Ativar e desativar versões de chave.

Para instruções sobre como destruir e restaurar versões de chave, consulte Destruir e restaurar versões de chave.

A seguir