Utilizzando le chiavi di crittografia gestite dal cliente (CMEK), hai il controllo sulle tue chiavi. Questo ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud Key Management Service (KMS).
Prima di iniziare
Assicurati di avere il ruolo Amministratore Redis nel tuo account utente.
Flusso di lavoro per creare un'istanza che utilizza CMEK
Crea un portachiavi e una chiave nella località in cui vuoi che si trovi l'istanza Memorystore for Redis.
Copia o annota il nome della chiave (
KEY_NAME), la località della chiave e il nome della chiave automatizzata (KEY_RING). Avrai bisogno di queste informazioni quando concedi al account di servizio l'accesso alla chiave.Concedi al account di servizio Memorystore for Redis l'accesso alla chiave.
Vai a un progetto e crea un'istanza Memorystore for Redis con CMEK abilitato nella stessa regione della chiave e della chiave automatizzata.
L'istanza Memorystore for Redis è ora abilitata con CMEK.
Creare una chiave e una chiave automatizzata
Crea un portachiavi e una chiave. Entrambe devono trovarsi nella stessa regione dell'istanza Memorystore for Redis. La chiave può provenire da un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrica.
Dopo aver creato la chiave e la chiave automatizzata, copia o annota KEY_NAME, la località della chiave e KEY_RING. Avrai bisogno di queste informazioni quando concedi al account di servizio l'accesso alla chiave.
Concedere al account di servizio Memorystore for Redis l'accesso alla chiave
Prima di poter creare un'istanza Memorystore for Redis che utilizza CMEK, devi concedere a un account di servizio Memorystore for Redis specifico l'accesso alla chiave. Puoi concedere al account di servizio l'accesso alla chiave utilizzando la Google Cloud console o il Google Cloud CLI.
Per concedere l'accesso al account di servizio, utilizza il seguente formato:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
Console
Concedi al account di servizio l'accesso alla chiave nell'ambito dei passaggi per la creazione di un'istanza Memorystore for Redis che utilizza CMEK.
gcloud
Per concedere al account di servizio l'accesso alla chiave, utilizza il
gcloud kms keys add-iam-policy-binding
comando.
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=REGION_ID \ --keyring=KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Esegui le seguenti sostituzioni:
- KEY_NAME: il nome della chiave a cui stai concedendo l'accesso al account di servizio
- REGION_ID: la regione in cui si trova la chiave automatizzata
- KEY_RING: il nome della chiave automatizzata che contiene la chiave
- PROJECT_NUMBER: l'ID o il numero del progetto che contiene il account di servizio
Creare un'istanza Memorystore for Redis che utilizza CMEK
Puoi creare un'istanza che utilizza CMEK utilizzando la Google Cloud console o gcloud CLI.
Console
Assicurati di creare una chiave e una chiave automatizzata nella stessa regione in cui vuoi creare l'istanza.
Segui le istruzioni riportate in Creare un'istanza Redis su una rete VPC fino al passaggio per abilitare CMEK. Poi torna a queste istruzioni.
Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).
Per selezionare la chiave, utilizza il menu.
Seleziona le configurazioni rimanenti per l'istanza, quindi fai clic su Crea.
gcloud
Per creare un'istanza che utilizza CMEK, utilizza il
gcloud redis instances create
comando.
gcloud redis instances create INSTANCE_ID \ --size=SIZE \ --region=REGION_ID \ --customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Esegui le seguenti sostituzioni:
- INSTANCE_ID: l'ID dell'istanza che stai creando
- SIZE: le dimensioni dell'istanza che vuoi creare, in gibibyte (GiB)
- REGION_ID: l'ID della regione in cui vuoi che si trovi l'istanza
- PROJECT_NAME: il nome del progetto in cui vuoi creare l'istanza
- KEY_RING: il nome della chiave automatizzata che contiene la chiave
- KEY_NAME: il nome della chiave
Visualizzare le informazioni sulla chiave per un'istanza abilitata per CMEK
Puoi visualizzare le informazioni sulla chiave per un'istanza abilitata per CMEK utilizzando la Google Cloud console o la gcloud CLI. Queste informazioni includono la chiave attiva e se CMEK è abilitato per l'istanza.
Console
Nella Google Cloud console, vai alla pagina Istanze.
Fai clic sull'ID della tua istanza.
Nel riquadro a sinistra, fai clic sulla scheda Sicurezza. La pagina Sicurezza contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se queste informazioni non vengono visualizzate, significa che non hai abilitato CMEK per l'istanza.
gcloud
Per verificare se CMEK è abilitato e visualizzare il riferimento della chiave, utilizza il gcloud redis instances describe comando per visualizzare il
customerManagedKey campo.
gcloud redis instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Esegui le seguenti sostituzioni:
- INSTANCE_ID: l'ID dell'istanza di cui vuoi visualizzare le informazioni
- PROJECT_NAME: il nome del progetto che contiene l'istanza
- REGION_ID: l'ID della regione in cui si trova l'istanza
Gestire le versioni delle chiavi
Per informazioni su cosa succede quando disabiliti, elimini, ruoti, abiliti, e ripristini una versione della chiave, consulta Comportamento di una versione della chiave CMEK.
Per istruzioni su come disabilitare e riabilitare le versioni delle chiavi, consulta Abilitare e disabilitare le versioni delle chiavi.
Per istruzioni su come eliminare e ripristinare le versioni delle chiavi, consulta Eliminare e ripristinare le versioni delle chiavi.
Passaggi successivi
- Scopri di più su Redis AUTH.
- Scopri di più sulla crittografia in transito.