En esta página, se proporcionan instrucciones para crear una instancia de Memorystore para Redis que use claves de encriptación administradas por el cliente (CMEK). También proporciona instrucciones para administrar instancias que usan CMEK. Para obtener más información sobre las CMEK para Memorystore para Redis, consulta Acerca de las claves de encriptación administradas por el cliente (CMEK).
Antes de comenzar
Asegúrate de tener el rol de administrador de Redis en tu cuenta de usuario.
Flujo de trabajo para crear una instancia que use CMEK
Crea un llavero de claves y una clave en la ubicación en la que deseas que se encuentre la instancia de Memorystore para Redis.
Copia o escribe el nombre de la clave (
KEY_NAME), la ubicación de la clave y el nombre del llavero (KEY_RING). Necesitarás esta información cuando le otorgues a la cuenta de servicio acceso a la clave.Otorga a la cuenta de servicio de Memorystore para Redis acceso a la clave.
Ve a un proyecto y crea una instancia de Memorystore para Redis con la CMEK habilitada en la misma región que el llavero de claves y la clave.
Ahora tu instancia de Memorystore para Redis está habilitada con CMEK.
Crea un llavero de claves y una clave
Crea un llavero de claves y una clave. Ambos deben estar en la misma región que tu instancia de Memorystore para Redis. La clave puede ser de otro proyecto, siempre y cuando esté en la misma región. Además, la clave debe usar el algoritmo de encriptación simétrica.
Después de crear el llavero de claves y la clave, copia o anota el KEY_NAME, la ubicación de la clave y el KEY_RING. Necesitarás esta información cuando le otorgues a la cuenta de servicio acceso a la clave.
Otorga a la cuenta de servicio de Memorystore para Redis acceso a la clave
Antes de crear una instancia de Memorystore para Redis que use CMEK, debes otorgar acceso a la clave a una cuenta de servicio específica de Memorystore para Redis. Puedes otorgar acceso a la clave a la cuenta de servicio con la consola de Google Cloud o la CLI de Google Cloud.
Para otorgar acceso a la cuenta de servicio, usa el siguiente formato:
service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com
Console
Otorgas acceso a la cuenta de servicio a la clave como parte de los pasos para crear una instancia de Memorystore para Redis que use CMEK.
gcloud
Para otorgar a la cuenta de servicio acceso a la clave, usa el comando gcloud kms keys add-iam-policy-binding. Reemplaza VARIABLES por los valores adecuados.
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=REGION_ID \ --keyring=KEY_RING \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crea una instancia de Memorystore para Redis que use CMEK
Puedes crear una instancia que use CMEK con la consola de Google Cloud o la CLI de gcloud.
Console
Asegúrate de crear un llavero de claves y una clave en la misma región en la que deseas crear tu instancia.
Sigue las instrucciones en Crea una instancia de Redis en una red de VPC hasta que llegues al paso para habilitar la CMEK. Luego, vuelve a estas instrucciones.
Selecciona Usar una clave de encriptación administrada por el cliente (CMEK).
Para seleccionar la llave, usa el menú.
Selecciona la configuración restante para la instancia y, luego, haz clic en Crear.
gcloud
Para crear una instancia que use CMEK, usa el comando gcloud redis instances create. Reemplaza VARIABLES por los valores adecuados.
gcloud redis instances create INSTANCE_ID \ --size=SIZE \ --region=REGION_ID \ --customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Visualiza la información de claves de una instancia con CMEK habilitadas
Puedes ver la información clave de una instancia habilitada para CMEK con laGoogle Cloud consola o la CLI de gcloud. Esta información incluye la clave activa y si la CMEK está habilitada para tu instancia.
Console
En la consola de Google Cloud , ve a la página Instancias.
Haz clic en el ID de tu instancia.
En el panel de la izquierda, haz clic en la pestaña Seguridad. La página Seguridad contiene un vínculo a la clave activa y muestra la ruta de referencia de la clave. Si no aparece esta información, significa que no habilitaste la CMEK para tu instancia.
gcloud
Para verificar si la CMEK está habilitada y ver la referencia de la clave, usa el comando gcloud redis instances describe para ver el campo customerManagedKey. Reemplaza VARIABLES por los valores adecuados.
gcloud redis instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Administra versiones de claves
Para obtener información sobre lo que sucede cuando inhabilitas, destruyes, rotas, habilitas y restableces una versión de clave, consulta Comportamiento de una versión de clave de CMEK.
Si deseas obtener instrucciones para inhabilitar y volver a habilitar versiones de clave, consulta Habilita y habilita versiones de clave.
Si deseas obtener instrucciones para destruir y restablecer versiones de claves, consulta Destruye y restablece versiones de claves.
¿Qué sigue?
- Obtén más información sobre Redis AUTH.
- Obtén más información sobre la encriptación en tránsito.