Wenn Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden, haben Sie die Kontrolle über Ihre Schlüssel. So haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud Key Management Service (KMS) steuern und verwalten.
Hinweise
Sie benötigen die Rolle „Redis-Administrator“ für Ihr Nutzerkonto.
Workflow zum Erstellen einer Instanz, die CMEK verwendet
Erstellen Sie einen Schlüsselbund und einen Schlüssel an dem Speicherort, an dem sich die Memorystore for Redis-Instanz befinden soll.
Kopieren oder notieren Sie sich den Schlüsselnamen (
KEY_NAME), den Speicherort des Schlüssels und den Namen des Schlüsselbunds (KEY_RING). Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.Gewähren Sie dem Memorystore for Redis-Dienstkonto Zugriff auf den Schlüssel.
Rufen Sie ein Projekt auf und erstellen Sie eine Memorystore for Redis-Instanz mit aktivierter CMEK-Verschlüsselung in derselben Region wie der Schlüsselbund und der Schlüssel.
Ihre Memorystore for Redis-Instanz ist jetzt mit CMEK aktiviert.
Schlüsselbund und Schlüssel erstellen
Erstellen Sie einen Schlüsselbund und einen Schlüssel. Beide müssen sich in derselben Region wie Ihre Memorystore for Redis-Instanz befinden. Der Schlüssel kann aus einem anderen Projekt stammen, sofern er sich in derselben Region befindet. Außerdem muss der Schlüssel den symmetrischen Verschlüsselungsalgorithmus verwenden.
Nachdem Sie den Schlüsselbund und den Schlüssel erstellt haben, kopieren oder notieren Sie die KEY_NAME, den Speicherort des Schlüssels und die KEY_RING. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
Dem Memorystore for Redis-Dienstkonto Zugriff auf den Schlüssel gewähren
Bevor Sie eine Memorystore for Redis-Instanz erstellen können, die CMEK verwendet, müssen Sie einem bestimmten Memorystore for Redis-Dienstkonto Zugriff auf den Schlüssel gewähren. Sie können dem Dienstkonto Zugriff auf den Schlüssel gewähren, indem Sie die Google Cloud Console oder die Google Cloud CLI verwenden.
So gewähren Sie Zugriff auf das Dienstkonto:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
Console
Sie gewähren dem Dienstkonto Zugriff auf den Schlüssel im Rahmen der Schritte zum Erstellen einer Memorystore for Redis-Instanz, die CMEK verwendet.
gcloud
Verwenden Sie den Befehl gcloud kms keys add-iam-policy-binding, um dem Dienstkonto Zugriff auf den Schlüssel zu gewähren.
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=REGION_ID \ --keyring=KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Ersetzen Sie die folgenden Werte:
- KEY_NAME: der Name des Schlüssels, für den Sie dem Dienstkonto Zugriff gewähren
- REGION_ID: die Region, in der sich der Schlüsselbund befindet
- KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
- PROJECT_NUMBER: die ID oder Nummer des Projekts, das das Dienstkonto enthält
Memorystore for Redis-Instanz erstellen, die CMEK verwendet
Sie können eine Instanz, die CMEK verwendet, mit der Google Cloud Console oder der gcloud CLI erstellen.
Console
Achten Sie darauf, dass Sie einen Schlüsselbund und einen Schlüssel in derselben Region erstellen, in der Sie Ihre Instanz erstellen möchten.
Folgen Sie der Anleitung unter Redis-Instanz in einem VPC-Netzwerk erstellen, bis Sie den Schritt zum Aktivieren von CMEK erreichen. Kehren Sie dann zu dieser Anleitung zurück.
Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.
Wählen Sie Ihren Schlüssel über das Menü aus.
Wählen Sie die verbleibenden Konfigurationen für die Instanz aus und klicken Sie dann auf Erstellen.
gcloud
Verwenden Sie zum Erstellen einer Instanz, die CMEK verwendet, den Befehl gcloud redis instances create.
gcloud redis instances create INSTANCE_ID \ --size=SIZE \ --region=REGION_ID \ --customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Ersetzen Sie die folgenden Werte:
- INSTANCE_ID: die ID der Instanz, die Sie erstellen
- SIZE: Die Größe der Instanz, die Sie erstellen möchten, in Gibibyte (GiB).
- REGION_ID: die ID der Region, in der sich die Instanz befinden soll
- PROJECT_NAME: der Name des Projekts, in dem Sie die Instanz erstellen möchten
- KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
- KEY_NAME: der Name des Schlüssels
Wichtige Informationen für eine CMEK-fähige Instanz aufrufen
Sie können wichtige Informationen für eine CMEK-fähige Instanz über dieGoogle Cloud -Konsole oder die gcloud CLI aufrufen. Diese Informationen enthalten den aktiven Schlüssel und geben an, ob CMEK für Ihre Instanz aktiviert ist.
Console
Rufen Sie in der Google Cloud Console die Seite Instanzen auf.
Klicken Sie auf die ID Ihrer Instanz.
Klicken Sie im linken Bereich auf den Tab Sicherheit. Die Seite Sicherheit enthält einen Link zum aktiven Schlüssel und zeigt den Schlüsselreferenzpfad an. Wenn diese Informationen nicht angezeigt werden, haben Sie CMEK für Ihre Instanz nicht aktiviert.
gcloud
Mit dem Befehl gcloud redis instances describe können Sie prüfen, ob CMEK aktiviert ist, und die Schlüsselreferenz im Feld customerManagedKey aufrufen.
gcloud redis instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Ersetzen Sie die folgenden Werte:
- INSTANCE_ID: Die ID der Instanz, zu der Sie Informationen aufrufen möchten.
- PROJECT_NAME: Der Name des Projekts, das die Instanz enthält.
- REGION_ID: die ID der Region, in der sich die Instanz befindet
Schlüsselversionen verwalten
Informationen dazu, was passiert, wenn Sie eine Schlüsselversion deaktivieren, löschen, rotieren, aktivieren und wiederherstellen, finden Sie unter Verhalten einer CMEK-Schlüsselversion.
Eine Anleitung zum Deaktivieren und Reaktivieren von Schlüsselversionen finden Sie unter Schlüsselversionen aktivieren und deaktivieren.
Eine Anleitung zum Löschen und Wiederherstellen von Schlüsselversionen finden Sie unter Schlüsselversionen löschen und wiederherstellen.
Nächste Schritte
- Weitere Informationen zu Redis AUTH
- Weitere Informationen zur Verschlüsselung während der Übertragung