Informationen zu vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-managed Encryption Keys, CMEK)

Standardmäßig verschlüsselt Memorystore for Valkey ruhende Kundeninhalte. Die Verschlüsselung wird von Memorystore for Valkey übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Memorystore for Valkey verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutz level, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Memorystore for Valkey-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Für wen ist CMEK geeignet?

CMEK ist für Organisationen mit vertraulichen oder regulierten Daten gedacht, die verschlüsselt werden müssen. Weitere Informationen dazu, ob Sie CMEK zum Verschlüsseln dieser Daten verwenden sollten, finden Sie unter Entscheidung über die Verwendung von CMEK.

Von Google und kundenverwaltete Verschlüsselung im Vergleich

Mit dem CMEK-Feature für kundenverwaltete Verschlüsselungsschlüssel können Sie für inaktive Daten in Memorystore for Valkey Ihre eigenen kryptografischen Schlüssel verwenden. Für CMEK-fähige Memorystore for Valkey-Instanzen verwendet Google Ihre Schlüssel, um auf alle Daten im Ruhezustand zuzugreifen.

Memorystore verwendet von Google verwaltete Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) und Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs), um Daten in Memorystore for Valkey zu verschlüsseln. Es gibt zwei Verschlüsselungsebenen:

  • DEK-Verschlüsselung:Memorystore verwendet DEKs, um Daten in Memorystore for Valkey zu verschlüsseln.
  • KEK-Verschlüsselung:Memorystore verwendet KEKs, um DEKs zu verschlüsseln.

Die Memorystore for Valkey-Instanz speichert den verschlüsselten DEK zusammen mit den verschlüsselten Daten auf dem Laufwerk und Google verwaltet den Google-KEK. Der CMEK ist der KEK, der den DEK verpackt. Mit CMEK können Sie den KEK erstellen, deaktivieren oder löschen, rotieren, und aktivieren oder wiederherstellen.

Die folgenden Diagramme zeigen, wie die Verschlüsselung inaktiver Daten in einer Memorystore for Valkey-Instanz funktioniert, wenn entweder die standardmäßige von Google verwaltete Verschlüsselung oder CMEK verwendet wird.

Ohne CMEK

Die Daten werden auf Google hochgeladen, dann in Blöcke aufgeteilt und jeder Block wird mit einem eigenen Datenverschlüsselungsschlüssel verschlüsselt. Datenverschlüsselungsschlüssel werden mit einem Schlüsselverschlüsselungsschlüssel verpackt. Bei der standardmäßigen Google-Verschlüsselung wird der Schlüsselverschlüsselungsschlüssel aus dem internen Schlüsselspeicher von Google abgerufen. Verschlüsselte Blöcke und verpackte Verschlüsselungsschlüssel werden über die Speicherinfrastruktur von Google verteilt.

Mit CMEK

Die Daten werden auf Google hochgeladen, dann in Blöcke aufgeteilt und jeder Block wird mit einem eigenen Datenverschlüsselungsschlüssel verschlüsselt. Datenverschlüsselungsschlüssel werden mit einem Schlüsselverschlüsselungsschlüssel verpackt. Bei CMEK unter Verwendung von Cloud KMS wird der Schlüsselverschlüsselungsschlüssel vom Cloud KMS abgerufen. Verschlüsselte Blöcke und verpackte Verschlüsselungsschlüssel werden über die Speicherinfrastruktur von Google verteilt.

Beim Entschlüsseln von Daten, die mit CMEK verpackt sind, verwendet Memorystore den KEK aus Cloud Key Management Service, um den DEK zu entschlüsseln, und den unverschlüsselten DEK, um inaktive Daten zu entschlüsseln.

Mit DEK verschlüsselter und mit verpacktem DEK gespeicherter Datenblock. Eine Anfrage zum Entpacken des DEK wird an Cloud KMS gesendet, in dem der KEK gespeichert wird. Cloud KMS gibt den entpackten DEK zurück.

Preise

Memorystore for Valkey berechnet CMEK-fähige Instanzen wie jede andere Instanz. Es fallen keine zusätzlichen Kosten an. Weitere Informationen finden Sie unter Memorystore for Valkey – Preise.

Sie verwenden die Cloud KMS API, um CMEK zu verwalten. Wenn Sie eine Memorystore for Valkey-Instanz mit CMEK erstellen, verwendet Memorystore den Schlüssel regelmäßig, um Daten zu verschlüsseln.

Ihnen werden von Cloud KMS die Kosten für den Schlüssel sowie für Ver- und Entschlüsselungsvorgänge in Rechnung gestellt, wenn Memorystore for Valkey den Schlüssel verwendet. Weitere Informationen finden Sie unter Cloud KMS – Preise.

Welche Daten werden mit CMEK verschlüsselt?

CMEK verschlüsselt die folgenden Arten von Kundendaten, die im nichtflüchtigen Speicher gespeichert sind:

  • Sicherungen: Mit Sicherungen können Sie Ihre Daten zu einem bestimmten Zeitpunkt wiederherstellen sowie Daten exportieren und analysieren. Sicherungen sind auch nützlich für Notfallwiederherstellung, Datenmigration, Datenaustausch und Compliance-Szenarien.
  • Persistenz: Memorystore for Valkey unterstützt zwei Arten von Persistenz:
    • RDB-Persistenz:Mit dieser Funktion werden Snapshots Ihrer Daten im nichtflüchtigen Speicher gespeichert, um Ihre Daten zu schützen.
    • AOF-Persistenz:Bei dieser Funktion wird die Datenbeständigkeit priorisiert. Daten werden dauerhaft gespeichert, indem jeder Schreibbefehl in einer Logdatei namens Append-Only File (AOF) aufgezeichnet wird. Bei einem Systemausfall oder Neustart spielt der Server die AOF-Dateibefehle sequenziell ab, um Ihre Daten wiederherzustellen.

Informationen zu Dienstkonten

Wenn Sie eine Instanz mit CMEK erstellen, müssen Sie dem Memorystore for Valkey-Dienstkonto mit dem folgenden Format die Rolle cloudkms.cryptoKeyEncrypterDecrypter gewähren:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

Durch das Gewähren dieser Berechtigung kann das Dienstkonto den Zugriff auf den Schlüssel von Cloud KMS anfordern.

Eine Anleitung zum Gewähren dieser Berechtigung für das Dienstkonto finden Sie unter Memorystore for Valkey-Dienstkonto Zugriff auf den Schlüssel gewähren.

Informationen zu Schlüsseln

In Cloud KMS müssen Sie einen Schlüsselbund mit einem kryptografischen Schlüssel erstellen, der einen symmetrischen Verschlüsselungsalgorithmus verwendet. Wenn Sie eine Memorystore for Valkey-Instanz erstellen, wählen Sie diesen Schlüssel aus, um die Instanz zu verschlüsseln. Sie können ein einziges Projekt für Schlüssel und Instanzen erstellen oder für beide jeweils ein separates Projekt anlegen.

CMEK ist an allen Memorystore for Valkey-Instanzstandorten verfügbar. Sie müssen den Schlüsselbund und den Schlüssel in derselben Region erstellen, in der Sie die Instanz erstellen möchten. Für eine multiregionale Instanz müssen Sie den Schlüsselbund und den Schlüssel auf denselben Standort wie die Instanz festlegen. Wenn die Regionen oder Standorte nicht übereinstimmen, schlägt eine Anfrage zum Erstellen der Instanz fehl.

Für die Ressourcen-ID des Schlüssels verwendet CMEK das folgende Format:

projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Externe Schlüssel

Sie können Cloud External Key Manager (Cloud EKM) verwenden, um Daten mit von Ihnen verwalteten externen Schlüsseln zu verschlüsseln. Google Cloud

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels. Wenn der Schlüssel beim Erstellen der Instanz nicht verfügbar ist, wird die Instanz nicht erstellt.

Weitere Überlegungen zur Verwendung externer Schlüssel finden Sie unter Cloud External Key Manager.

Wie kann ich CMEK-verschlüsselte Daten dauerhaft unzugänglich machen?

Es kann Situationen geben, in denen Sie Daten, die mit CMEK verschlüsselt wurden, dauerhaft unzugänglich machen möchten. Löschen Sie dazu die Schlüsselversion. Weitere Informationen zum Löschen von Schlüsselversionen finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Verhalten einer CMEK-Schlüsselversion

In diesem Abschnitt erfahren Sie, was passiert, wenn Sie eine Schlüsselversion deaktivieren, löschen, rotieren, aktivieren und wiederherstellen.

CMEK-Schlüsselversion deaktivieren oder löschen

Wenn Sie die Primärschlüsselversion Ihres CMEK deaktivieren oder löschen, gelten die folgenden Bedingungen für Sicherungen und Persistenz.

Sicherungen

  • Sie können keine On-Demand- oder automatischen Sicherungen erstellen. Wenn Sie jedoch eine ältere Schlüsselversion aktivieren, können Sie auf alle Sicherungen zugreifen, die Sie mit dieser Schlüsselversion erstellt haben.
  • Sie können automatische Sicherungen erst aktualisieren oder wieder aktivieren, wenn Sie die Primärschlüsselversion aktivieren oder wiederherstellen.

Persistenz

  • Wenn Sie Ihre Instanz für die Verwendung der Persistenz, dann deaktiviert Memorystore for Valkey die Persistenzfunktion, wenn die Schlüssel version nicht mehr verfügbar ist. Ihnen werden keine Kosten mehr für diese Funktion in Rechnung gestellt.
  • Memorystore for Valkey speichert keine neuen Daten im nichtflüchtigen Speicher mit dem CMEK.
  • Memorystore for Valkey kann keine vorhandenen Daten lesen, die sich im nichtflüchtigen Speicher befinden.
  • Sie können die Persistenz erst aktualisieren oder wieder aktivieren, wenn Sie die Primärschlüsselversion aktivieren oder wiederherstellen.

Wenn Sie die Primärschlüsselversion Ihres CMEK aktivieren, aber eine ältere Schlüsselversion deaktivieren oder löschen, gelten die folgenden Bedingungen für Sicherungen und Persistenz:

  • Sie können Sicherungen erstellen. Wenn eine Sicherung jedoch mit einer älteren Schlüsselversion verschlüsselt ist, die deaktiviert oder gelöscht wurde, bleibt die Sicherung unzugänglich.
  • Wenn Sie die Persistenz aktivieren, bleibt diese Funktion aktiviert. Wenn die ältere Schlüssel version, die für die Persistenz verwendet wird, deaktiviert oder gelöscht wird, führt Memorystore for Valkey ein Update durch, das dem bei der Wartung verwendeten Update ähnelt, und verschlüsselt die Daten mit der Primärschlüsselversion neu.

Primäre CMEK-Schlüsselversion rotieren

Wenn Sie die Primärschlüsselversion Ihres CMEK rotieren und eine neue Primärschlüsselversion erstellen, gelten die folgenden Bedingungen für Sicherungen und Persistenz:

  • Die neueste Primärschlüsselversion Ihres CMEK verschlüsselt neue Sicherungen.
  • Vorhandene Sicherungen werden nicht neu verschlüsselt.
  • Für die Persistenz führen die Knoten keine Aktion aus. Die Knoten verwenden die ältere Schlüsselversion bis zum nächsten Wartungsereignis.

CMEK-geschützte Daten manuell neu verschlüsseln

Memorystore for Valkey unterstützt kein On-Demand-Rewrapping vorhandener inaktiver Daten. Sie können keinen Prozess manuell auslösen, um vorhandene Sicherungen oder aktive Persistenzdateien mit einer neuen Schlüsselversion neu zu verschlüsseln. Sie können die neue Schlüsselversion jedoch verwenden, um neu geschriebene Daten zu verschlüsseln.

Wenn Sie einen Schlüssel rotieren und eine Instanz zwingen müssen, die neue Schlüsselversion zu verwenden, gelten die folgenden Bedingungen für Sicherungen und Persistenz:

Sicherungen

Sie können vorhandene Sicherungen nicht neu verpacken. Wenn alle Daten aus Compliance-Gründen mit dem neuesten Schlüssel verschlüsselt werden müssen, erstellen Sie eine Sicherung mit diesem Schlüssel und löschen Sie vorhandene Sicherungen manuell. Sie können diese Sicherung auch in einen Cloud Storage-Bucket exportieren, damit der Cloud Storage-Verschlüsselungsschlüssel verwendet wird.

Persistenz

Wenn Sie die Verwendung eines neuen KMS-Schlüssels erzwingen möchten, können Sie eine simulierte Wartung für die Instanz ausführen. Nach Abschluss dieses Vorgangs kann Memorystore for Valkey Persistenzdaten mit der aktualisierten Primärschlüsselversion schreiben.

Geschützten KMS-Schlüssel ersetzen

Wenn Sie einen geschützten KMS-Schlüssel durch einen anderen KMS-Schlüssel oder eine neue Primärschlüsselversion ersetzen, wendet Memorystore for Valkey diese Änderung nur auf zukünftige Vorgänge an.

Das Ersetzen eines geschützten KMS-Schlüssels wirkt sich auf folgende Weise auf Ihre Ressourcen aus:

  • Sicherungen: Alle nachfolgenden Sicherungen werden mit dem neuen KMS-Schlüssel verschlüsselt. Vorhandene Sicherungen behalten ihre ursprünglichen Schlüssel.
  • Persistenz: Beim nächsten Neustart der Instanz oder bei einem Wartungsereignis wird der neue KMS-Schlüssel verwendet.
  • Primärer Cache: Das Ersetzen dieses Schlüssels hat keine Auswirkungen. CMEK verschlüsselt keine speicherinternen Daten, da sie nicht als Daten im Ruhezustand gelten.

Primäre CMEK-Schlüsselversion aktivieren oder wiederherstellen

Wenn Sie die Primärschlüsselversion Ihres CMEK aktivieren oder wiederherstellen, gelten die folgenden Bedingungen für Sicherungen und Persistenz:

  • Sie können wieder On-Demand- und automatische Sicherungen erstellen.
  • Memorystore for Valkey führt ein Update durch, das dem bei der Wartung verwendeten Update ähnelt, und aktiviert die Persistenz wieder.

Beschränkungen

Bei der Verwendung von CMEK mit Memorystore for Valkey gelten die folgenden Einschränkungen:

  • CMEK kann nicht für eine vorhandene Memorystore for Valkey-Instanz aktiviert werden.
  • Der Schlüssel, der Schlüsselbund und die Instanz müssen sich in derselben Region befinden.
  • Sie müssen den symmetrischen Verschlüsselungsalgorithmus für Ihren Schlüssel verwenden.
  • Verschlüsselungs- und Entschlüsselungsraten für Cloud KMS unterliegen einem Kontingent.

Informationen zu Einschränkungen für CMEK-Organisationsrichtlinien

Memorystore for Valkey unterstützt Einschränkungen für Organisationsrichtlinien für CMEK. Mit diesen Einschränkungen können Sie den CMEK-Schutz für Ihre Instanzen erzwingen und einschränken, welche Cloud KMS-Schlüssel Sie für diesen Schutz verwenden können.

Sie können die folgenden Einschränkungen für Organisationsrichtlinien konfigurieren:

  • constraints/gcp.restrictNonCmekServices: Mit dieser Einschränkung können Sie den CMEK-Schutz für Ihre Instanzen erzwingen. Wenn sich die Memorystore for Valkey API in der Richtlinienliste Deny der Dienste für diese Einschränkung befindet, können Sie keine Instanzen erstellen, die nicht durch CMEK geschützt sind.
  • constraints/gcp.restrictCmekCryptoKeyProjects: Mit dieser Einschränkung können Sie einschränken, welche Cloud KMS-Schlüssel Sie für den CMEK-Schutz verwenden können. Wenn Sie diese Einschränkung konfigurieren, müssen die Instanzen, die CMEK-Verschlüsselung verwenden, einen Schlüssel aus einem zulässigen Projekt, Ordner oder einer zulässigen Organisation verwenden.