Questa pagina fornisce istruzioni per creare un'istanza Memorystore for Redis che utilizza chiavi di crittografia gestite dal cliente (CMEK). Fornisce inoltre istruzioni per la gestione delle istanze che utilizzano CMEK. Per saperne di più sulle chiavi CMEK per Memorystore for Redis, consulta Informazioni sulle chiavi di crittografia gestite dal cliente (CMEK).
Prima di iniziare
Assicurati di disporre del ruolo di amministratore Redis nel tuo account utente.
Flusso di lavoro per creare un'istanza che utilizza CMEK
Crea un portachiavi e una chiave nella posizione in cui vuoi che si trovi l'istanza Memorystore for Redis.
Copia o annota il nome della chiave (
KEY_NAME), la posizione della chiave e il nome del portachiavi (KEY_RING). Ti serviranno queste informazioni quando concederai l'accesso alla chiave al account di servizio.Concedi all'account di servizio Memorystore for Redis l'accesso alla chiave.
Vai a un progetto e crea un'istanza Memorystore for Redis con CMEK abilitata nella stessa regione della chiave automatizzata e della chiave.
L'istanza Memorystore for Redis è ora abilitata con CMEK.
Creare una chiave automatizzata e una chiave
Crea una chiave automatizzata e una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Memorystore for Redis. La chiave può provenire da un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrica.
Dopo aver creato il portachiavi e la chiave, copia o annota KEY_NAME, la
posizione della chiave e KEY_RING. Ti serviranno queste informazioni quando concedi
l'accesso alla chiave alaccount di serviziot.
Concedi all'account di servizio Memorystore for Redis l'accesso alla chiave
Prima di poter creare un'istanza Memorystore for Redis che utilizza CMEK, devi concedere a un account di servizio Memorystore for Redis specifico l'accesso alla chiave. Puoi concedere al account di servizio l'accesso alla chiave utilizzando la console Google Cloud o Google Cloud CLI.
Per concedere l'accesso al account di servizio, utilizza il seguente formato:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
Console
Concedi all'account di servizio l'accesso alla chiave nell'ambito dei passaggi per creare un'istanza Memorystore for Redis che utilizza CMEK.
gcloud
Per concedere al account di servizio l'accesso alla chiave, utilizza il comando gcloud kms keys add-iam-policy-binding. Sostituisci VARIABLES con i valori appropriati.
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=REGION_ID \ --keyring=KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crea un'istanza Memorystore for Redis che utilizza CMEK
Puoi creare un'istanza che utilizza CMEK utilizzando la console Google Cloud o gcloud CLI.
Console
Assicurati di creare un portachiavi e una chiave nella stessa regione in cui vuoi creare l'istanza.
Segui le istruzioni riportate in Crea un'istanza Redis su una rete VPC fino al passaggio per abilitare CMEK. Poi torna a queste istruzioni.
Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).
Per selezionare la chiave, utilizza il menu.
Seleziona le configurazioni rimanenti per l'istanza, quindi fai clic su Crea.
gcloud
Per creare un'istanza che utilizza CMEK, utilizza il comando gcloud redis instances create. Sostituisci VARIABLES con i valori
appropriati.
gcloud redis instances create INSTANCE_ID \ --size=SIZE \ --region=REGION_ID \ --customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Visualizzare le informazioni sulla chiave per un'istanza abilitata per CMEK
Puoi visualizzare le informazioni chiave per un'istanza abilitata a CMEK utilizzando la consoleGoogle Cloud o gcloud CLI. Queste informazioni includono la chiave attiva e se CMEK è abilitata per la tua istanza.
Console
Nella console Google Cloud , vai alla pagina Istanze.
Fai clic sull'ID della tua istanza.
Nel riquadro a sinistra, fai clic sulla scheda Sicurezza. La pagina Sicurezza contiene un link alla chiave attiva e mostra il percorso di riferimento della chiave. Se queste informazioni non vengono visualizzate, significa che non hai attivato CMEK per la tua istanza.
gcloud
Per verificare se CMEK è abilitata e visualizzare il riferimento alla chiave, utilizza il comando gcloud redis instances describe per visualizzare il campo customerManagedKey. Sostituisci VARIABLES con i valori
appropriati.
gcloud redis instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Gestire le versioni della chiave
Per informazioni su cosa succede quando disattivi, elimini, ruoti, attivi e ripristini una versione della chiave, consulta Comportamento di una versione della chiave CMEK.
Per istruzioni su come disattivare e riattivare le versioni delle chiavi, consulta Attivare e disattivare le versioni delle chiavi.
Per istruzioni su come eliminare e ripristinare le versioni delle chiavi, vedi Eliminare e ripristinare le versioni delle chiavi.
Passaggi successivi
- Scopri di più su Redis AUTH.
- Scopri di più sulla crittografia in transito.