Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Memorystore for Redis-Instanz, die vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwendet. Außerdem enthält es eine Anleitung zum Verwalten von Instanzen, die CMEK verwenden. Weitere Informationen zu CMEK für Memorystore for Redis finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Hinweise
Sie benötigen die Rolle „Redis-Administrator“ für Ihr Nutzerkonto.
Workflow zum Erstellen einer Instanz, die CMEK verwendet
Erstellen Sie einen Schlüsselbund und einen Schlüssel an dem Speicherort, an dem sich die Memorystore for Redis-Instanz befinden soll.
Kopieren oder notieren Sie sich den Schlüsselnamen (
KEY_NAME), den Speicherort des Schlüssels und den Namen des Schlüsselbunds (KEY_RING). Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.Gewähren Sie dem Memorystore for Redis-Dienstkonto Zugriff auf den Schlüssel.
Rufen Sie ein Projekt auf und erstellen Sie eine Memorystore for Redis-Instanz mit aktivierter CMEK-Verschlüsselung in derselben Region wie der Schlüsselbund und der Schlüssel.
Ihre Memorystore for Redis-Instanz ist jetzt mit CMEK aktiviert.
Schlüsselbund und Schlüssel erstellen
Erstellen Sie einen Schlüsselbund und einen Schlüssel. Beide müssen sich in derselben Region wie Ihre Memorystore for Redis-Instanz befinden. Der Schlüssel kann aus einem anderen Projekt stammen, sofern er sich in derselben Region befindet. Außerdem muss der Schlüssel den symmetrischen Verschlüsselungsalgorithmus verwenden.
Nachdem Sie den Schlüsselbund und den Schlüssel erstellt haben, kopieren oder notieren Sie die KEY_NAME, den Speicherort des Schlüssels und die KEY_RING. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
Dem Memorystore for Redis-Dienstkonto Zugriff auf den Schlüssel gewähren
Bevor Sie eine Memorystore for Redis-Instanz erstellen können, die CMEK verwendet, müssen Sie einem bestimmten Memorystore for Redis-Dienstkonto Zugriff auf den Schlüssel gewähren. Sie können dem Dienstkonto Zugriff auf den Schlüssel gewähren, indem Sie die Google Cloud Console oder die Google Cloud CLI verwenden.
So gewähren Sie Zugriff auf das Dienstkonto:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
Console
Sie gewähren dem Dienstkonto Zugriff auf den Schlüssel im Rahmen der Schritte zum Erstellen einer Memorystore for Redis-Instanz, die CMEK verwendet.
gcloud
Verwenden Sie den Befehl gcloud kms keys add-iam-policy-binding, um dem Dienstkonto Zugriff auf den Schlüssel zu gewähren. Ersetzen Sie VARIABLES durch die entsprechenden Werte.
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=REGION_ID \ --keyring=KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Memorystore for Redis-Instanz erstellen, die CMEK verwendet
Sie können eine Instanz, die CMEK verwendet, mit der Google Cloud -Konsole oder der gcloud CLI erstellen.
Console
Achten Sie darauf, dass Sie einen Schlüsselbund und einen Schlüssel in derselben Region erstellen, in der Sie Ihre Instanz erstellen möchten.
Folgen Sie der Anleitung unter Redis-Instanz in einem VPC-Netzwerk erstellen, bis Sie den Schritt zum Aktivieren von CMEK erreichen. Kehren Sie dann zu dieser Anleitung zurück.
Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.
Wählen Sie Ihren Schlüssel über das Menü aus.
Wählen Sie die verbleibenden Konfigurationen für die Instanz aus und klicken Sie dann auf Erstellen.
gcloud
Verwenden Sie den Befehl gcloud redis instances create, um eine Instanz zu erstellen, die CMEK verwendet. Ersetzen Sie VARIABLES durch die entsprechenden Werte.
gcloud redis instances create INSTANCE_ID \ --size=SIZE \ --region=REGION_ID \ --customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Wichtige Informationen für eine CMEK-fähige Instanz aufrufen
Sie können wichtige Informationen für eine CMEK-fähige Instanz über dieGoogle Cloud -Konsole oder die gcloud CLI aufrufen. Diese Informationen enthalten den aktiven Schlüssel und geben an, ob CMEK für Ihre Instanz aktiviert ist.
Console
Rufen Sie in der Google Cloud Console die Seite Instanzen auf.
Klicken Sie auf die ID Ihrer Instanz.
Klicken Sie im linken Bereich auf den Tab Sicherheit. Die Seite Sicherheit enthält einen Link zum aktiven Schlüssel und zeigt den Schlüsselreferenzpfad an. Wenn diese Informationen nicht angezeigt werden, haben Sie CMEK für Ihre Instanz nicht aktiviert.
gcloud
Mit dem Befehl gcloud redis instances describe können Sie prüfen, ob CMEK aktiviert ist, und die Schlüsselreferenz im Feld customerManagedKey aufrufen. Ersetzen Sie VARIABLES durch die entsprechenden Werte.
gcloud redis instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Schlüsselversionen verwalten
Informationen dazu, was passiert, wenn Sie eine Schlüsselversion deaktivieren, löschen, rotieren, aktivieren und wiederherstellen, finden Sie unter Verhalten einer CMEK-Schlüsselversion.
Eine Anleitung zum Deaktivieren und Reaktivieren von Schlüsselversionen finden Sie unter Schlüsselversionen aktivieren und deaktivieren.
Eine Anleitung zum Löschen und Wiederherstellen von Schlüsselversionen finden Sie unter Schlüsselversionen löschen und wiederherstellen.
Nächste Schritte
- Weitere Informationen zu Redis AUTH
- Weitere Informationen zur Verschlüsselung während der Übertragung