Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש במפתחות הצפנה בניהול הלקוח (CMEK)

כשמשתמשים במפתחות הצפנה בניהול הלקוח (CMEK), יש שליטה במפתחות. כך אתם יכולים לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה הסימטריים (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud Key Management Service‏ (KMS).

לפני שמתחילים

מוודאים שיש לכם תפקיד אדמין ב-Redis בחשבון המשתמש.

לדף IAM

תהליך עבודה ליצירת מכונה שמשתמשת ב-CMEK

יוצרים אוסף מפתחות ומפתח במיקום שבו רוצים ליצור את מופע Memorystore for Redis.
מעתיקים או רושמים את שם המפתח (KEY_NAME), את המיקום של המפתח ואת השם של מחזיק המפתחות (KEY_RING). תצטרכו את המידע הזה כשתעניקו לחשבון השירות גישה למפתח.
מעניקים לחשבון השירות של Memorystore for Redis גישה למפתח.
עוברים לפרויקט ויוצרים מכונה של Memorystore for Redis עם CMEK מופעל באותו אזור שבו נמצאים אוסף המפתחות והמפתח.

מכונת Memorystore for Redis מופעלת עכשיו עם CMEK.

יצירה של אוסף מפתחות ומפתח

יוצרים אוסף מפתחות ומפתח. שניהם צריכים להיות באותו אזור כמו מופע Memorystore for Redis. המפתח יכול להיות מפרויקט אחר, כל עוד הוא נמצא באותו אזור. בנוסף, המפתח חייב להשתמש באלגוריתם הצפנה סימטרי.

אחרי שיוצרים את אוסף המפתחות ואת המפתח, מעתיקים או רושמים את KEY_NAME, את מיקום המפתח ואת KEY_RING. המידע הזה נדרש כשנותנים לחשבון השירות גישה למפתח.

מעניקים לחשבון השירות של Memorystore for Redis גישה למפתח

כדי ליצור מכונת Memorystore for Redis שמשתמשת ב-CMEK, צריך להעניק לחשבון שירות ספציפי של Memorystore for Redis גישה למפתח. אפשר להעניק לחשבון השירות גישה למפתח באמצעות מסוף Google Cloud או Google Cloud CLI.

כדי להעניק גישה לחשבון השירות, משתמשים בפורמט הבא:

service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

המסוף

מעניקים לחשבון השירות גישה למפתח כחלק מהשלבים של יצירת מופע של Memorystore for Redis שמשתמש ב-CMEK.

gcloud

כדי לתת לחשבון השירות גישה למפתח, משתמשים בפקודה gcloud kms keys add-iam-policy-binding.

gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=REGION_ID \
--keyring=KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

מחליפים את הפרטים הבאים:

‫KEY_NAME: השם של המפתח שרוצים להעניק לו גישה לחשבון השירות
‫REGION_ID: האזור שבו נמצא אוסף המפתחות
‫KEY_RING: השם של אוסף המפתחות שמכיל את המפתח
‫PROJECT_NUMBER: המזהה או המספר של הפרויקט שמכיל את חשבון השירות

יצירת מכונה של Memorystore for Redis שמשתמשת ב-CMEK

אפשר ליצור מכונה שמשתמשת ב-CMEK באמצעות המסוף Google Cloud או ה-CLI של gcloud.

המסוף

חשוב לוודא שיצרתם אוסף מפתחות ומפתח באותו אזור שבו אתם רוצים ליצור את המכונה.
פועלים לפי ההוראות במאמר יצירת מופע Redis ברשת VPC עד שמגיעים לשלב שבו צריך להפעיל את CMEK. לאחר מכן, חוזרים להוראות האלה.
בוחרים באפשרות Use a customer-managed encryption key (CMEK) (שימוש במפתח הצפנה בניהול הלקוח).
כדי לבחור את המקש, משתמשים בתפריט.

הערה: אם לא הענקתם לחשבון השירות את ההרשאות שהוא צריך כדי לגשת למפתח, תופיע ההודעה הבאה:

The service-PROJECT-NUMBER@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

במקרה כזה, לוחצים על Grant כדי להעניק את ההרשאות לחשבון השירות.
בוחרים את שאר ההגדרות של המופע ולוחצים על יצירה.

gcloud

כדי ליצור מכונה שמשתמשת ב-CMEK, משתמשים בפקודה gcloud redis instances create.

gcloud redis instances create INSTANCE_ID \
--size=SIZE \
--region=REGION_ID \
--customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME

מחליפים את הפרטים הבאים:

‫INSTANCE_ID: המזהה של המכונה שאתם יוצרים
‫SIZE: הגודל של המכונה שרוצים ליצור, בגיביבייט (GiB)
‫REGION_ID: המזהה של האזור שבו רוצים למקם את המכונה
‫PROJECT_NAME: השם של הפרויקט שבו רוצים ליצור את המכונה
‫KEY_RING: השם של אוסף המפתחות שמכיל את המפתח
‫KEY_NAME: השם של המפתח

צפייה בפרטי המפתח של מכונה שמופעלת בה הצפנה שבניהול הלקוח (CMEK)

אפשר להציג מידע על מפתח של מופע שמופעל בו CMEK באמצעותGoogle Cloud המסוף או ה-CLI של gcloud. המידע הזה כולל את המפתח הפעיל ואם CMEK מופעל במופע.

המסוף

נכנסים לדף Instances במסוף Google Cloud .

‫Memorystore for Redis
לוחצים על המזהה של המכונה.
בחלונית הימנית, לוחצים על הכרטיסייה אבטחה. בדף אבטחה יש קישור למפתח הפעיל ומוצג נתיב ההפניה למפתח. אם המידע הזה לא מופיע, סימן שלא הפעלתם CMEK עבור המופע.

gcloud

כדי לוודא ש-CMEK מופעל ולראות את הפניה למפתח, משתמשים בפקודה gcloud redis instances describe כדי להציג את השדה customerManagedKey.

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

מחליפים את הפרטים הבאים:

‫INSTANCE_ID: המזהה של המופע שרוצים להציג מידע לגביו
‫PROJECT_NAME: השם של הפרויקט שמכיל את המכונה
‫REGION_ID: מזהה האזור שבו נמצאת המכונה

ניהול גרסאות של מפתחות

מידע על מה שקורה כשמשביתים, משמידים, מחליפים, מפעילים ומשחזרים גרסת מפתח CMEK זמין במאמר התנהגות של גרסת מפתח CMEK.

הוראות להשבתה ולהפעלה מחדש של גרסאות מפתח מופיעות במאמר הפעלה והשבתה של גרסאות מפתח.

הוראות להשמדה ולשחזור של גרסאות מפתח מופיעות במאמר השמדה ושחזור של גרסאות מפתח.

שימוש במפתחות הצפנה בניהול הלקוח (CMEK) קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

תהליך עבודה ליצירת מכונה שמשתמשת ב-CMEK

יצירה של אוסף מפתחות ומפתח

מעניקים לחשבון השירות של Memorystore for Redis גישה למפתח

המסוף

gcloud

יצירת מכונה של Memorystore for Redis שמשתמשת ב-CMEK

המסוף

gcloud

צפייה בפרטי המפתח של מכונה שמופעלת בה הצפנה שבניהול הלקוח (CMEK)

המסוף

gcloud

ניהול גרסאות של מפתחות

המאמרים הבאים

שימוש במפתחות הצפנה בניהול הלקוח (CMEK)