使用客户管理的加密密钥 (CMEK)

通过使用客户管理的加密密钥 (CMEK)，您可以控制自己的密钥。这样一来，您就可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。这样您就可以在 Cloud Key Management Service (KMS) 中控制和管理用于保护数据的对称密钥加密密钥 (KEK)，而不是由 Google 拥有和管理这些密钥。

准备工作

1. 确保您的用户账号具有 Redis Admin 角色。

   转到 IAM 页面

创建使用 CMEK 的集群的工作流

1. 在您希望 Memorystore for Redis Cluster 中的集群所在的地理位置创建密钥环和密钥。

2. 复制或记下密钥名称 (KEY_NAME)、密钥的位置和密钥环的名称 (KEY_RING)。您在向服务账号授予密钥访问权限时需要此信息。

3. 向 Memorystore for Redis Cluster 服务账号授予对密钥的访问权限。

4. 前往某个项目，然后在密钥环和密钥所在的同一区域中创建启用了 CMEK 的 Memorystore for Redis 集群中的集群。

您的集群现已启用 CMEK。

创建密钥环和密钥

创建密钥环和密钥。 两者都必须与 Memorystore for Redis 集群中的集群位于同一区域。密钥可以来自其他项目，但必须位于同一区域。此外，密钥必须使用对称加密算法。

创建密钥环和密钥后，复制或记下 KEY_NAME、密钥位置和 KEY_RING。在向服务账号授予密钥访问权限时，您需要此信息。

向 Memorystore for Redis Cluster 服务账号授予密钥的访问权限

在 Memorystore for Redis Cluster 中创建使用 CMEK 的集群之前，您必须向特定的 Memorystore for Redis Cluster 服务账号授予对密钥的访问权限。

您可以使用 gcloud CLI 向服务账号授予对密钥的访问权限。如需向服务账号授予访问权限，请使用以下格式：

  service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
  

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

创建使用 CMEK 的集群

您可以使用 gcloud CLI 创建使用 CMEK 的集群。

gcloud redis clusters create CLUSTER_ID \
--project=PROJECT_NAME \
--region=REGION_ID \
--network=NETWORK_ID \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-mode=PERSISTENCE_MODE

查看启用了 CMEK 的集群的密钥信息

您可以使用 gcloud CLI 查看有关已启用 CMEK 的集群的信息。此信息包括您的集群是否已启用 CMEK 以及有效密钥。

gcloud redis clusters describe CLUSTER_ID \
--project=PROJECT_NAME \
--region=REGION_ID

管理密钥版本

如需了解停用、销毁、轮替、启用和恢复密钥版本时会发生什么情况，请参阅 CMEK 密钥版本的行为。

如需了解如何停用和重新启用密钥版本，请参阅启用和停用密钥版本。

如需查看有关如何销毁和恢复密钥版本的说明，请参阅销毁和恢复密钥版本。

后续步骤

• 详细了解备份。
• 详细了解持久性。