Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Redis yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Dokumen ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk mengetahui informasi selengkapnya tentang CMEK untuk Memorystore for Redis, lihat Tentang kunci enkripsi yang dikelola pelanggan (CMEK).

Sebelum memulai

Pastikan Anda memiliki peran Admin Redis di akun pengguna Anda.

Buka halaman IAM

Alur kerja untuk membuat instance yang menggunakan CMEK

Buat key ring dan kunci di lokasi tempat Anda ingin instance Memorystore for Redis berada.
Salin atau tulis nama kunci (KEY_NAME), lokasi kunci, dan nama key ring (KEY_RING). Anda memerlukan informasi ini saat memberi akun layanan akses ke kunci.
Beri akun layanan Memorystore for Redis akses ke kunci.
Buka project dan buat instance Memorystore for Redis dengan CMEK diaktifkan di region yang sama dengan key ring dan kunci.

Instance Memorystore for Redis Anda kini diaktifkan dengan CMEK.

Membuat key ring dan kunci

Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan instance Memorystore for Redis Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.

Setelah membuat key ring dan kunci, salin atau tulis KEY_NAME, lokasi kunci, dan KEY_RING. Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.

Beri akun layanan Memorystore for Redis akses ke kunci

Sebelum dapat membuat instance Memorystore for Redis yang menggunakan CMEK, Anda harus memberi akun layanan Memorystore for Redis tertentu akses ke kunci. Anda dapat memberikan akses akun layanan ke kunci menggunakan konsol Google Cloud atau Google Cloud CLI.

Untuk memberikan akses ke akun layanan, gunakan format berikut:

service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com

Konsol

Anda memberikan akses akun layanan ke kunci sebagai bagian dari langkah-langkah untuk membuat instance Memorystore for Redis yang menggunakan CMEK.

gcloud

Untuk memberikan akses akun layanan ke kunci, gunakan perintah gcloud kms keys add-iam-policy-binding. Ganti VARIABLES dengan nilai yang sesuai.

gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=REGION_ID \
--keyring=KEY_RING \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Buat instance Memorystore for Redis yang menggunakan CMEK

Anda dapat membuat instance yang menggunakan CMEK melalui Konsol Google Cloud atau gcloud CLI.

Konsol

Pastikan Anda membuat key ring dan kunci di region yang sama dengan tempat Anda ingin membuat instance.
Ikuti petunjuk di Membuat instance Redis di jaringan VPC hingga Anda mencapai langkah untuk mengaktifkan CMEK. Kemudian, kembali ke petunjuk ini.
Pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Untuk memilih kunci Anda, gunakan menu.

Catatan: Jika Anda belum memberikan izin yang diperlukan akun layanan untuk mengakses kunci, pesan berikut akan muncul:

The service-PROJECT-NUMBER@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

Jika hal ini terjadi, klik Grant untuk memberikan izin ke akun layanan.
Pilih konfigurasi yang tersisa untuk instance, lalu klik Buat.

gcloud

Untuk membuat instance yang menggunakan CMEK, gunakan perintah gcloud redis instances create. Ganti VARIABLES dengan nilai yang sesuai.

gcloud redis instances create INSTANCE_ID \
--size=SIZE \
--region=REGION_ID \
--customer-managed-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Melihat informasi penting untuk instance yang mendukung CMEK

Anda dapat melihat informasi penting untuk instance yang mendukung CMEK menggunakan Google Cloud konsol atau gcloud CLI. Informasi ini mencakup kunci aktif dan apakah CMEK diaktifkan untuk instance Anda.

Konsol

Di konsol Google Cloud , buka halaman Instances.

Memorystore for Redis
Klik ID instance Anda.
Di panel kiri, klik tab Keamanan. Halaman Keamanan berisi link ke kunci aktif dan menampilkan jalur referensi kunci. Jika informasi ini tidak muncul, berarti Anda tidak mengaktifkan CMEK untuk instance Anda.

gcloud

Untuk memverifikasi apakah CMEK diaktifkan dan untuk melihat referensi kunci, gunakan perintah gcloud redis instances describe untuk melihat kolom customerManagedKey. Ganti VARIABLES dengan nilai yang sesuai.

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

Mengelola versi kunci

Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.

Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk mengetahui petunjuk tentang cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Langkah berikutnya

Pelajari Redis AUTH lebih lanjut.
Pelajari lebih lanjut enkripsi dalam transit.

Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Alur kerja untuk membuat instance yang menggunakan CMEK

Membuat key ring dan kunci

Beri akun layanan Memorystore for Redis akses ke kunci

Konsol

gcloud

Buat instance Memorystore for Redis yang menggunakan CMEK

Konsol

gcloud

Melihat informasi penting untuk instance yang mendukung CMEK

Konsol

gcloud

Mengelola versi kunci

Langkah berikutnya

Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)