使用客戶自行管理的加密金鑰 (CMEK)

本頁提供操作說明，協助您建立使用客戶自行管理的加密金鑰 (CMEK) 的 Memorystore for Redis 執行個體。此外，還提供管理使用 CMEK 的執行個體相關操作說明。如要進一步瞭解 Memorystore for Redis 的 CMEK，請參閱「關於客戶管理的加密金鑰 (CMEK)」。

事前準備

1. 確認您的使用者帳戶具有 Redis 管理員角色。

   前往「IAM」頁面

建立使用 CMEK 的執行個體的工作流程

1. 在您要建立 Memorystore for Redis 執行個體的位置，建立金鑰環和金鑰。

2. 複製或記下金鑰名稱 (KEY_NAME)、金鑰位置和金鑰環名稱 (KEY_RING)。授予服務帳戶金鑰存取權時，您需要這些資訊。

3. 授予 Memorystore for Redis 服務帳戶金鑰存取權。

4. 前往專案，並在與金鑰環和金鑰相同的區域中，建立已啟用 CMEK 的 Memorystore for Redis 執行個體。

您的 Memorystore for Redis 執行個體現在已啟用 CMEK。

建立金鑰環和金鑰

建立金鑰環和金鑰。 兩者必須與 Memorystore for Redis 執行個體位於相同地區。只要金鑰位於相同區域，即可來自不同專案。此外，金鑰必須使用對稱式加密演算法。

建立金鑰環和金鑰後，請複製或記下 KEY_NAME、金鑰位置和 KEY_RING。授權服務帳戶存取金鑰時，您需要這項資訊。

授予 Memorystore for Redis 服務帳戶金鑰存取權

如要建立使用 CMEK 的 Memorystore for Redis 執行個體，必須先授予特定 Memorystore for Redis 服務帳戶金鑰存取權。您可以使用 Google Cloud 控制台或 Google Cloud CLI，授予服務帳戶金鑰存取權。

如要授予服務帳戶存取權，請使用下列格式：

service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=REGION_ID \
--keyring=KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

建立使用 CMEK 的 Memorystore for Redis 執行個體

您可以使用 Google Cloud 控制台或 gcloud CLI 建立使用 CMEK 的執行個體。

gcloud redis instances create INSTANCE_ID \
--size=SIZE \
--region=REGION_ID \
--customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME

查看已啟用 CMEK 的執行個體金鑰資訊

您可以使用Google Cloud 控制台或 gcloud CLI，查看已啟用 CMEK 的執行個體金鑰資訊。這項資訊包括有效金鑰，以及執行個體是否已啟用 CMEK。

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

管理金鑰版本

如要瞭解停用、刪除、輪替、啟用及還原金鑰版本時會發生什麼情況，請參閱「CMEK 金鑰版本的行為」。

如需如何停用及重新啟用金鑰版本的操作說明，請參閱「啟用及停用金鑰版本」。

如需刪除及還原金鑰版本的操作說明，請參閱刪除與還原金鑰版本一文。

後續步驟

• 進一步瞭解 Redis AUTH。
• 進一步瞭解傳輸中資料加密。