顧客管理の暗号鍵(CMEK)を使用する

このページでは、顧客管理の暗号鍵(CMEK)を使用する Memorystore for Redis インスタンスを作成する手順について説明します。また、CMEK を使用するインスタンスを管理する手順も説明します。Memorystore for Redis の CMEK の詳細については、顧客管理の暗号鍵(CMEK)についてをご覧ください。

始める前に

  1. ユーザー アカウントに Redis 管理者のロールがあることを確認します。

    [IAM] ページに移動

CMEK を使用するインスタンスを作成するワークフロー

  1. Memorystore for Redis インスタンスを配置する場所にキーリングを作成します。

  2. 鍵の名前(KEY_NAME)、鍵のロケーション、キーリングの名前(KEY_RING)をコピーするか書き留めます。この情報は、サービス アカウントに鍵へのアクセス権を付与するときに必要になります。

  3. Memorystore for Redis サービス アカウントに鍵へのアクセス権を付与します

  4. プロジェクトに移動し、キーリングと鍵と同じリージョンで CMEK を有効にして Memorystore for Redis インスタンスを作成します。

CMEK で Memorystore for Redis インスタンスが有効になります。

キーリングと鍵を作成する

鍵リングを作成します。両方とも、Memorystore for Redis インスタンスと同じリージョンに存在する必要があります。鍵が同じリージョンにある限り、別のプロジェクトの鍵であっても問題ありません。また、鍵には対称暗号化アルゴリズムを使用する必要があります。

キーリングと鍵を作成したら、KEY_NAME、鍵のロケーション、KEY_RING をコピーするか書き留めます。この情報は、サービス アカウントに鍵へのアクセス権を付与するときに必要になります。

Memorystore for Redis サービス アカウントに鍵へのアクセス権を付与する

CMEK を使用する Memorystore for Redis インスタンスを作成する前に、特定の Memorystore for Redis サービス アカウントに鍵へのアクセス権を付与する必要があります。サービス アカウントに鍵へのアクセス権を付与するには、 Google Cloud コンソールまたは Google Cloud CLI を使用します。

サービス アカウントにアクセス権を付与するには、次の形式を使用します。

service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

コンソール

サービス アカウントに鍵へのアクセス権を付与するには、CMEK を使用する Memorystore for Redis インスタンスの作成の手順を行います。

gcloud

サービス アカウントに鍵へのアクセス権を付与するには、gcloud kms keys add-iam-policy-binding コマンドを使用します。VARIABLES は適切な値に置き換えます。

gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=REGION_ID \
--keyring=KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

CMEK を使用する Memorystore for Redis インスタンスを作成する

CMEK を使用するインスタンスは、 Google Cloud コンソールまたは gcloud CLI を使用して作成できます。

コンソール

  1. インスタンスを作成するリージョンと同じリージョンにキーリングと鍵を作成してください。

  2. VPC ネットワークで Redis インスタンスを作成するの手順に沿って、CMEK を有効にする手順まで進みます。その後、こちらの手順に戻ります。

  3. [顧客管理の暗号鍵(CMEK)を使用する] を選択します。

  4. 鍵を選択するには、メニューを使用します。

  5. インスタンスの残りの構成を選択し、[作成] をクリックします。

gcloud

CMEK を使用するインスタンスを作成するには、gcloud redis instances create コマンドを使用します。VARIABLES は適切な値に置き換えます。

gcloud redis instances create INSTANCE_ID \
--size=SIZE \
--region=REGION_ID \
--customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME

CMEK 対応インスタンスの鍵情報を表示する

CMEK 対応インスタンスの鍵情報は、Google Cloud コンソールまたは gcloud CLI を使用して表示できます。この情報には、有効な鍵と、インスタンスで CMEK が有効になっているかどうかが含まれます。

コンソール

  1. Google Cloud コンソールで [インスタンス] ページに移動します。

    Memorystore for Redis

  2. インスタンスの ID をクリックします。

  3. 左側のペインで [セキュリティ] タブをクリックします。[セキュリティ] ページには、有効な鍵へのリンクとキー参照のパスが表示されます。この情報が表示されない場合は、インスタンスで CMEK が有効になっていません。

gcloud

CMEK が有効かどうかを確認し、キー参照を確認するには、gcloud redis instances describe コマンドを使用して customerManagedKey フィールドを表示します。VARIABLES は適切な値に置き換えます。

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

鍵バージョンを管理する

鍵バージョンの無効化、破棄、ローテーション、有効化、復元を行うとどうなるかについては、CMEK 鍵バージョンの動作をご覧ください。

鍵バージョンの無効化と再有効化の手順については、鍵バージョンの有効化と無効化をご覧ください。

鍵バージョンの破棄と復元の手順については、鍵バージョンの破棄と復元をご覧ください。

次のステップ