Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על מפתחות הצפנה בניהול הלקוח (CMEK)

כברירת מחדל, שירות Memorystore for Redis מצפין את התוכן של הלקוחות במנוחה. ‫Memorystore for Redis מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Memorystore for Redis. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Memorystore for Redis דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

למי כדאי להשתמש ב-CMEK?

הצפנת CMEK מיועדת לארגונים שבהם יש נתונים רגישים או נתונים בפיקוח שחייבים להיות מוצפנים. מידע נוסף על השימוש ב-CMEK להצפנת הנתונים האלה זמין במאמר האם כדאי להשתמש ב-CMEK.

הצפנה בניהול Google לעומת הצפנה בניהול הלקוח

בעזרת התכונה CMEK תוכלו להשתמש במפתחות קריפטוגרפיים משלכם לנתונים במנוחה ב-Memorystore for Redis. במופעים של Memorystore for Redis שמופעלת בהם הצפנת CMEK,‏ Google משתמשת במפתחות שלכם כדי לגשת לכל הנתונים במצב מנוחה.

ב-Memorystore נעשה שימוש במפתחות להצפנת נתונים (DEK) ובמפתחות להצפנת מפתחות הצפנה (KEK) בניהול Google כדי להצפין נתונים ב-Memorystore for Redis. יש שתי רמות של הצפנה:

הצפנת DEK:‏ Memorystore משתמש במפתחות DEK כדי להצפין נתונים ב-Memorystore for Redis.
הצפנת KEK:‏ Memorystore משתמש במפתחות KEK כדי להצפין מפתחות DEK.

מופע Memorystore for Redis מאחסן את ה-DEK המוצפן לצד הנתונים המוצפנים בדיסק הקשיח, ו-Google מנהלת את ה-KEK של Google. מפתח ה-CMEK הוא מפתח ה-KEK שעוטף את מפתח ה-DEK. באמצעות CMEK אפשר ליצור, להשבית או להרוס ולהפעיל או לשחזר את מפתח ה-KEK.

אתם מנהלים את ה-CMEK באמצעות Cloud Key Management Service API.

בתרשימים הבאים מוצג איך הצפנת נתונים באחסון פועלת בתוך מופע של Memorystore for Redis כשמשתמשים בהצפנה שמוגדרת כברירת מחדל ומנוהלת על ידי Google, לעומת CMEK.

ללא CMEK

הנתונים מועלים ל-Google, מחולקים למקטעים וכל מקטע מוצפן באמצעות מפתח הצפנת נתונים משלו. מפתחות להצפנת נתונים (DEK) נעטפים באמצעות מפתח להצפנת מפתחות הצפנה (KEK). בהצפנה של Google שמוגדרת כברירת מחדל, מפתח הצפנה של מפתח (KEK) מאוחזר מ-Keystore הפנימי של Google. נתחים מוצפנים ומפתחות הצפנה עטופים מופצים בתשתית האחסון של Google.

עם CMEK

הנתונים מועלים ל-Google, מחולקים למקטעים וכל מקטע מוצפן באמצעות מפתח הצפנת נתונים משלו. מפתחות להצפנת נתונים (DEK) נעטפים באמצעות מפתח להצפנת מפתחות הצפנה (KEK). כשמשתמשים ב-CMEK באמצעות Cloud KMS, המפתח להצפנת מפתחות הצפנה מאוחזר מ-Cloud KMS. נתחים מוצפנים ומפתחות הצפנה עטופים מופצים בתשתית האחסון של Google.

כשמפענחים נתונים שעברו הצפנה באמצעות CMEK,‏ Memorystore משתמש במפתח להצפנת מפתחות (KEK) מ-Cloud Key Management Service כדי לפענח את המפתח להצפנת נתונים (DEK), ובמפתח הלא מוצפן להצפנת נתונים כדי לפענח את הנתונים במנוחה.

מקטע נתונים מוצפן באמצעות DEK ומאוחסן עם DEK ארוז. בקשה לפתיחת האריזה של ה-DEK נשלחת לאחסון KMS, שבו מאוחסן ה-KEK שלא ניתן לייצא. שירות האחסון של KMS מחזיר את ה-DEK שהאריזה שלו נפתחה.

תמחור

החיוב על מכונה עם CMEK ב-Memorystore for Redis זהה לחיוב על כל מכונה אחרת, ואין עלויות נוספות. מידע נוסף מופיע במאמר בנושא תמחור של Memorystore for Redis.

משתמשים ב-Cloud KMS API כדי לנהל את ה-CMEK. כשיוצרים מכונת Memorystore for Redis עם CMEK, ‏ Memorystore משתמש במפתח באופן תקופתי כדי להצפין נתונים.

תחויבו על ידי Cloud KMS בעלות המפתח ועל פעולות ההצפנה והפענוח כש-Memorystore for Redis משתמש במפתח. מידע נוסף זמין במאמר תמחור של Cloud KMS.

מתי Memorystore פועל עם CMEK?

פעולה	תיאור
יצירה של מכונה	כשיוצרים מכונה, מגדירים אותה לשימוש ב-CMEK.
עדכון מכונה	במהלך עדכונים למכונה שמופעלת בה הצפנה לפי מפתחות בניהול הלקוח (CMEK),‏ Memorystore for Redis בודק את ה-CMEK.

אילו נתונים מוצפנים באמצעות CMEK?

מפתחות CMEK מצפינים את סוגי הנתונים הבאים:

נתוני לקוחות שמאוחסנים באחסון מתמיד.
מטא-נתונים שקשורים לתכונות אבטחה כמו אימות והצפנה בזמן ההעברה.

מידע על חשבונות שירות

כשיוצרים מכונה עם CMEK, צריך להעניק את התפקיד cloudkms.cryptoKeyEncrypterDecrypter לחשבון השירות של Memorystore for Redis בפורמט הבא:

  service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

ההרשאה הזו מאפשרת לחשבון השירות לבקש גישה למפתחות מ-Cloud KMS.

הוראות למתן ההרשאה הזו לחשבון השירות מופיעות במאמר מתן גישה לחשבון השירות של Memorystore for Redis למפתח.

מידע על מפתחות

ב-Cloud KMS, צריך ליצור אוסף מפתחות עם מפתח קריפטוגרפי שמשתמש באלגוריתם הצפנה סימטרי. כשיוצרים מכונת Memorystore for Redis, בוחרים את המפתח הזה כדי להצפין את המכונה. אתם יכולים ליצור פרויקט אחד גם למפתחות וגם למופעים, או פרויקטים שונים לכל אחד מהם.

הצפנה באמצעות מפתח משל לקוח זמינה בכל המיקומים של מכונות Memorystore for Redis. צריך ליצור את אוסף המפתחות ואת המפתח באותו אזור שבו רוצים ליצור את המופע. מפתח לאזור גלובלי או לאזור שכולל מספר אזורים לא יעבוד. אם האזורים או המיקומים לא תואמים, הבקשה ליצירת המופע תיכשל.

מפתח ה-CMEK משתמש בפורמט הבא למזהה המשאב של המפתח:

‫

projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

אם ל-Memorystore for Redis אין גישה לאף גרסת מפתח שנמצאת בשימוש (לדוגמה, אם השבתתם את כל גרסאות המפתח), המכונה של Memorystore for Redis מושבתת. במסוף Google Cloud , מופיע תיאור קצר עם סימן קריאה אדום ליד מופע מושעה בדף Instances. אם מעבירים את העכבר מעל תיאור הכלי, מופיע סטטוס No state. אחרי שהמפתח הופך לזמין, Memorystore for Redis מפעיל מחדש את המכונה באופן אוטומטי.

מפתחות חיצוניים

אתם יכולים להשתמש ב-Cloud External Key Manager‏ (Cloud EKM) כדי להצפין נתונים ב-Google Cloud באמצעות מפתחות חיצוניים שאתם מנהלים.

כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה בזמינות של המפתח שמנוהל חיצונית. אם המפתח לא זמין כשיוצרים את המופע, המופע לא נוצר.

מידע נוסף על שיקולים לשימוש במפתחות חיצוניים זמין במאמר בנושא Cloud External Key Manager.

איך אפשר למנוע גישה לנתונים מוצפנים באמצעות CMEK באופן קבוע?

יכול להיות שיהיו מצבים שבהם תרצו להפוך נתונים שהוצפנו באמצעות CMEK לבלתי נגישים באופן קבוע. כדי לעשות את זה, משמידים את גרסת המפתח. מידע נוסף על השמדה של גרסאות המפתח זמין במאמר השמדה ושחזור של גרסאות מפתח.

איך מייבאים או מייצאים נתונים במופע שמופעל בו CMEK?

אם אתם רוצים שהנתונים יישארו מוצפנים באמצעות CMEK כשאתם מייצאים נתונים, אתם צריכים להגדיר CMEK בקטגוריה של Cloud Storage לפני שאתם מייצאים אליה נתונים.

אם הנתונים שלכם מאוחסנים במופע שמופעלת בו הצפנת CMEK, לא חלות דרישות או הגבלות מיוחדות על ייבוא נתונים למופע חדש.

התנהגות של גרסת מפתח CMEK

בקטע הזה מוסבר מה קורה כשמשביתים, משמידים, מבצעים רוטציה, מפעילים ומשחזרים גרסה של מפתח.

השבתה או השמדה של גרסת מפתח CMEK

אם רוצים לוודא שלא תהיה גישה לנתונים במופע, צריך להשבית את הגרסה של המפתח הראשי של ה-CMEK. הפעולה הזו תכבה את המופע. בנוסף, אם מנטרלים או משמידים מפתח CMEK שנמצא בשימוש, מערכת Memorystore for Redis משביתה את המופע. הפעולה הזו כוללת כל גרסה ישנה של מפתח שמופעלת במופע.

כדי לבדוק אם המכונה שלכם ב-Memorystore for Redis מושעית, אפשר להשתמש באחד מהממשקים הבאים:

מסוףGoogle Cloud : בדף Instances, מופיע תיאור קצר עם סימן קריאה אדום ליד המופע. אם מעבירים את העכבר מעל תיאור הכלי, מופיע הסטטוס No state.
‫ה-CLI של gcloud: משתמשים בפקודה gcloud redis instances describe. מוודאים שלא מופיע state: READY, state: REPAIRING או מצב אחר במטא-נתונים של המופע.

הצפנה מחדש של נתונים שמוגנים באמצעות CMEK באופן ידני

‫Memorystore for Redis לא תומך בהצפנה מחדש של נתונים קיימים במצב מנוחה לפי דרישה. אי אפשר להפעיל תהליך באופן ידני כדי להשתמש בגרסה חדשה של מפתח להצפנה מחדש של גיבויים קיימים או קבצים פעילים של נתונים קבועים. עם זאת, אפשר להשתמש בגרסת המפתח החדשה כדי להצפין נתונים חדשים שנכתבו.

החלפה של מפתח KMS מוגן

אם מחליפים מפתח KMS מוגן במפתח KMS אחר או בגרסה חדשה של מפתח ראשי, השינוי הזה יחול ב-Memorystore for Redis רק על פעולות עתידיות.

החלפה של מפתח KMS מוגן משפיעה על המשאבים שלכם בדרכים הבאות:

גיבויים: Memorystore for Redis מייצא גיבויים לדליים ב-Cloud Storage. מפתח ההצפנה של Cloud Storage שולט במפתח שמשמש להצפנת הנתונים.
התמדה: בפעם הבאה שהמופע יופעל מחדש או שיתרחש בו אירוע תחזוקה, ייעשה שימוש במפתח ה-KMS החדש.
מטמון ראשי: אין השפעה להחלפת המפתח הזה. הצפנה באמצעות CMEK לא חלה על נתונים בזיכרון, כי הם לא נחשבים נתונים במנוחה.

הפעלה או שחזור של גרסת מפתח CMEK ראשית

אם מפעילים או משחזרים את הגרסה של המפתח הראשי של CMEK, המכונה של Memorystore for Redis לא תוסתר יותר.

מגבלות

ההגבלות הבאות חלות כשמשתמשים ב-CMEK עם Memorystore for Redis:

אי אפשר להפעיל CMEK במכונה קיימת של Memorystore for Redis.
המפתח, אוסף המפתחות והמופע צריכים להיות באותו אזור.
חובה להשתמש באלגוריתם הצפנה סימטרי בשביל המפתח.
קצב ההצפנה והפענוח של Cloud KMS תלוי במכסה.

מידע על אילוצים של מדיניות הארגון לגבי CMEK

‫Memorystore for Redis תומך באילוצים של מדיניות הארגון ל-CMEK. באמצעות האילוצים האלה, אתם יכולים לאכוף הגנה באמצעות CMEK על המכונות הווירטואליות שלכם ולהגביל את מפתחות Cloud KMS שבהם אתם יכולים להשתמש להגנה הזו.

אפשר להגדיר את האילוצים הבאים של מדיניות הארגון:

‫constraints/gcp.restrictNonCmekServices: משתמשים באילוץ הזה כדי לאכוף הגנה באמצעות CMEK על המופעים. אם Memorystore for Redis API מופיע ברשימת השירותים של מדיניות Deny עבור האילוץ הזה, לא תוכלו ליצור מופעים שלא מוגנים באמצעות CMEK.
‫constraints/gcp.restrictCmekCryptoKeyProjects: משתמשים באילוץ הזה כדי להגביל את מפתחות Cloud KMS שאפשר להשתמש בהם להגנה באמצעות CMEK. אם מגדירים את האילוץ הזה, המכונות שמשתמשות בהצפנת CMEK חייבות להשתמש במפתח מפרויקט, מתיקייה או מארגון מורשים.