Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Dengan menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Anda memiliki kontrol atas kunci Anda. Dengan demikian, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud Key Management Service (KMS).

Sebelum memulai

  1. Pastikan Anda memiliki peran Admin Redis di akun pengguna Anda.

    Buka halaman IAM

Alur kerja untuk membuat instance yang menggunakan CMEK

  1. Buat key ring dan kunci di lokasi tempat Anda ingin instance Memorystore for Redis berada.

  2. Salin atau tulis nama kunci (KEY_NAME), lokasi kunci, dan nama key ring (KEY_RING). Anda memerlukan informasi ini saat memberi akun layanan akses ke kunci.

  3. Beri akun layanan Memorystore for Redis akses ke kunci.

  4. Buka project dan buat instance Memorystore for Redis dengan CMEK diaktifkan di region yang sama dengan key ring dan kunci.

Instance Memorystore for Redis Anda kini diaktifkan dengan CMEK.

Membuat key ring dan kunci

Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan instance Memorystore for Redis Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.

Setelah Anda membuat key ring dan kunci, salin atau catat KEY_NAME, lokasi kunci, dan KEY_RING. Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.

Beri akun layanan Memorystore for Redis akses ke kunci

Sebelum dapat membuat instance Memorystore for Redis yang menggunakan CMEK, Anda harus memberi akun layanan Memorystore for Redis tertentu akses ke kunci. Anda dapat memberikan akses akun layanan ke kunci menggunakan konsol Google Cloud atau Google Cloud CLI.

Untuk memberikan akses ke akun layanan, gunakan format berikut:

service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

Konsol

Anda memberikan akses akun layanan ke kunci sebagai bagian dari langkah-langkah untuk membuat instance Memorystore for Redis yang menggunakan CMEK.

gcloud

Untuk memberikan akses akun layanan ke kunci, gunakan perintah gcloud kms keys add-iam-policy-binding.

gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=REGION_ID \
--keyring=KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Lakukan penggantian berikut:

  • KEY_NAME: nama kunci yang aksesnya Anda berikan ke akun layanan
  • REGION_ID: region tempat key ring berada
  • KEY_RING: nama key ring yang berisi kunci
  • PROJECT_NUMBER: ID atau nomor project yang berisi akun layanan

Buat instance Memorystore for Redis yang menggunakan CMEK

Anda dapat membuat instance yang menggunakan CMEK melalui Konsol Google Cloud atau gcloud CLI.

Konsol

  1. Pastikan Anda membuat key ring dan kunci di region yang sama dengan tempat Anda ingin membuat instance.

  2. Ikuti petunjuk di Membuat instance Redis di jaringan VPC hingga Anda mencapai langkah untuk mengaktifkan CMEK. Kemudian, kembali ke petunjuk ini.

  3. Pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).

  4. Untuk memilih kunci Anda, gunakan menu.

  5. Pilih konfigurasi yang tersisa untuk instance, lalu klik Buat.

gcloud

Untuk membuat instance yang menggunakan CMEK, gunakan perintah gcloud redis instances create.

gcloud redis instances create INSTANCE_ID \
--size=SIZE \
--region=REGION_ID \
--customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Lakukan penggantian berikut:

  • INSTANCE_ID: ID instance yang Anda buat
  • SIZE: ukuran instance yang ingin Anda buat, dalam gibibyte (GiB)
  • REGION_ID: ID region tempat Anda ingin menempatkan instance
  • PROJECT_NAME: nama project tempat Anda ingin membuat instance
  • KEY_RING: nama key ring yang berisi kunci
  • KEY_NAME: nama kunci

Melihat informasi penting untuk instance yang mendukung CMEK

Anda dapat melihat informasi penting untuk instance yang mendukung CMEK menggunakan Google Cloud konsol atau gcloud CLI. Informasi ini mencakup kunci aktif dan apakah CMEK diaktifkan untuk instance Anda.

Konsol

  1. Di konsol Google Cloud , buka halaman Instances.

    Memorystore for Redis

  2. Klik ID instance Anda.

  3. Di panel kiri, klik tab Keamanan. Halaman Keamanan berisi link ke kunci aktif dan menampilkan jalur referensi kunci. Jika informasi ini tidak muncul, berarti Anda tidak mengaktifkan CMEK untuk instance Anda.

gcloud

Untuk memverifikasi apakah CMEK diaktifkan dan untuk melihat referensi kunci, gunakan perintah gcloud redis instances describe untuk melihat kolom customerManagedKey.

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

Lakukan penggantian berikut:

  • INSTANCE_ID: ID instance yang informasinya ingin Anda lihat
  • PROJECT_NAME: nama project yang berisi instance
  • REGION_ID: ID region tempat instance berada

Mengelola versi kunci

Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.

Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk mengetahui petunjuk tentang cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Langkah berikutnya