De forma predeterminada, Memorystore para Valkey encripta el contenido del cliente en reposo. Memorystore for Valkey controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Memorystore para Valkey. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Memorystore para Valkey es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
¿Quiénes deberían usar la CMEK?
Las CMEK están diseñadas para organizaciones que tienen datos sensibles o regulados que deben encriptarse. Para obtener más información sobre si debes usar CMEK para encriptar estos datos, consulta Decide si vas a usar CMEK.
Diferencias entre la encriptación administrada por Google y la encriptación administrada por el cliente
La función de CMEK te permite usar tus propias claves criptográficas para los datos en reposo en Memorystore para Valkey. En el caso de las instancias de Memorystore for Valkey habilitadas para CMEK, Google usa tus claves para acceder a todos los datos en reposo.
Memorystore usa claves de encriptación de datos (DEK) y claves de encriptación de claves (KEK) administradas por Google para encriptar datos en Memorystore para Valkey. Existen dos niveles de encriptación:
- Encriptación con DEK: Memorystore usa DEK para encriptar datos en Memorystore para Valkey.
- Encriptación con KEK: Memorystore usa KEK para encriptar DEK.
La instancia de Memorystore para Valkey almacena la DEK encriptada junto con los datos encriptados en el disco, y Google administra la KEK de Google. La CMEK es la KEK que encapsula la DEK. La CMEK te permite crear, inhabilitar o destruir, rotar y habilitar o restablecer la KEK.
En los siguientes diagramas, se muestra cómo funciona la encriptación de datos en reposo dentro de una instancia de Memorystore para Valkey cuando se usa la encriptación predeterminada administrada por Google en comparación con la CMEK.
Sin CMEK
Con CMEK
Durante el proceso de desencriptación de datos unidos con CMEK, Memorystore usa la KEK de Cloud Key Management Service para desencriptar la DEK y la DEK no encriptada para desencriptar los datos en reposo.

Precios
Memorystore para Valkey factura una instancia habilitada para CMEK como cualquier otra instancia; no hay costos adicionales. Para obtener más información, consulta los precios de Memorystore para Valkey.
Usas la API de Cloud KMS para administrar las CMEK. Cuando creas una instancia de Memorystore for Valkey con CMEK, Memorystore usa la clave periódicamente para encriptar los datos.
Cloud KMS te factura el costo de la clave y las operaciones de encriptación y desencriptación cuando Memorystore para Valkey usa la clave. Para obtener más información, consulta Precios de Cloud KMS.
¿Qué datos se encriptan con CMEK?
La CMEK encripta los siguientes tipos de datos del cliente que se almacenan en el almacenamiento persistente:
- Copias de seguridad: Las copias de seguridad te permiten recuperar tus datos a un momento determinado, y exportar y analizar datos. Las copias de seguridad también son útiles para la recuperación ante desastres, la migración de datos, el uso compartido de datos y las situaciones de cumplimiento.
- Persistencia:
Memorystore for Valkey admite dos tipos de persistencia:
- Persistencia de RDB: Esta función protege tus datos guardando instantáneas de ellos en un almacenamiento duradero.
- Persistencia de AOF: Esta función prioriza la durabilidad de los datos. Almacena los datos de forma duradera registrando cada comando de escritura en un archivo de registro llamado Archivo de solo anexar (AOF). Si se produce una falla o un reinicio del sistema, el servidor reproduce los comandos del archivo AOF de forma secuencial para restablecer tus datos.
Acerca de las cuentas de servicio
Cuando crees una instancia con CMEK, debes otorgar el rol cloudkms.cryptoKeyEncrypterDecrypter a la cuenta de servicio de Memorystore para Valkey, que tiene el siguiente formato:
service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com
Si otorgas este permiso, la cuenta de servicio podrá solicitar acceso a la clave desde Cloud KMS.
Para obtener instrucciones sobre cómo otorgar este permiso a la cuenta de servicio, consulta Otorga acceso a la clave a la cuenta de servicio de Memorystore para Valkey.
Acerca de las claves
En Cloud KMS, debes crear un llavero de claves con una clave criptográfica que use un algoritmo de encriptación simétrica. Cuando creas una instancia de Memorystore para Valkey, seleccionas esta clave para encriptar la instancia. Puedes crear un solo proyecto para tus claves y tus instancias, o proyectos diferentes para cada uno de ellos.
Las CMEK están disponibles en todas las ubicaciones de instancias de Memorystore para Valkey. Debes crear el llavero de claves y la clave en la misma región en la que deseas crear la instancia. En el caso de una instancia multirregional, debes configurar el llavero de claves y la clave en la misma ubicación que la instancia. Si las regiones o ubicaciones no coinciden, fallará la solicitud para crear la instancia.
Para el ID de recurso de la clave, la CMEK usa el siguiente formato:
projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Claves externas
Puedes usar Cloud External Key Manager (Cloud EKM) para encriptar datos enGoogle Cloud con claves externas que administras.
Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave administrada de forma externa. Si la clave no está disponible cuando creas la instancia, esta no se creará.
Para obtener más consideraciones sobre el uso de claves externas, consulta Cloud External Key Manager.
¿Cómo haces que los datos encriptados con CMEK queden inaccesibles de forma permanente?
Es posible que surjan situaciones en las que quieras que los datos encriptados con CMEK sean inaccesibles de forma permanente. Para ello, debes destruir la versión de la clave. Para obtener más información sobre cómo destruir versiones de la clave, consulta Destruye y restablece versiones de claves.
Comportamiento de una versión de clave CMEK
En esta sección, se proporciona información sobre lo que sucede cuando inhabilitas, destruyes, rotas, habilitas y restableces una versión de clave.
Inhabilita o destruye una versión de clave CMEK
Si inhabilitas o destruyes la versión de clave primaria de tu CMEK, se aplicarán las siguientes condiciones para las copias de seguridad y la persistencia.
Copias de seguridad
- No puedes crear copias de seguridad automáticas ni a pedido. Sin embargo, si habilitas una versión de clave anterior, podrás acceder a las copias de seguridad que creaste con esa versión de clave.
- No podrás actualizar ni volver a habilitar las copias de seguridad automáticas hasta que habilites o restablezcas la clave primaria principal.
Persistencia
- Si configuras tu instancia para que use la persistencia, Memorystore para Valkey desactiva la función de persistencia cuando la versión de la clave deja de estar disponible. Ya no se te cobrará por esta función.
- Memorystore for Valkey no descarga datos nuevos en el almacenamiento persistente con la CMEK.
- Memorystore for Valkey no puede leer los datos existentes que se encuentran en el almacenamiento persistente.
- No puedes actualizar ni volver a habilitar la persistencia hasta que habilite o restablezca la clave primaria principal.
Si habilitas la versión de clave primaria de tu CMEK, pero inhabilitas o destruyes una versión de clave anterior, se aplicarán las siguientes condiciones para las copias de seguridad y la persistencia:
- Puedes crear copias de seguridad. Sin embargo, si una copia de seguridad se encripta con una versión de clave anterior que está inhabilitada o destruida, la copia de seguridad seguirá siendo inaccesible.
- Si habilitas la persistencia, esta función permanecerá habilitada. Si se inhabilita o destruye la versión de clave anterior que se usa en la persistencia, Memorystore para Valkey realiza una actualización similar a la que se usa en el mantenimiento y vuelve a encriptar los datos con la versión de clave primaria.
Rota la versión principal de la clave de CMEK
Si rotas la versión de clave primaria de tu CMEK y creas una nueva versión de clave primaria, se aplicarán las siguientes condiciones para las copias de seguridad y la persistencia:
- La versión de clave primaria más reciente de tu CMEK encripta las copias de seguridad nuevas.
- En el caso de las copias de seguridad existentes, no se realiza ninguna reencriptación.
- Para la persistencia, los nodos no realizan ninguna acción. Los nodos seguirán usando la versión de clave anterior hasta el próximo evento de mantenimiento.
Vuelve a encriptar manualmente los datos protegidos por CMEK
Memorystore for Valkey no admite el reajuste a pedido de los datos existentes en reposo. No puedes activar un proceso de forma manual para usar una nueva versión de clave y volver a encriptar las copias de seguridad existentes o los archivos de persistencia activos. Sin embargo, puedes usar la nueva versión de clave para encriptar los datos recién escritos.
Si rotas una clave y debes forzar una instancia para que use la nueva versión de clave, se aplican las siguientes condiciones para las copias de seguridad y la persistencia:
Copias de seguridad
No puedes volver a envolver copias de seguridad existentes. Si el cumplimiento requiere que todos los datos se encripten con la clave más reciente, crea una copia de seguridad que use esta clave y, luego, borra las copias de seguridad existentes de forma manual. También puedes exportar esta copia de seguridad a un bucket de Cloud Storage para que se use la clave de encriptación de Cloud Storage.
Persistencia
Para forzar el inicio del uso de una clave de KMS nueva, puedes ejecutar un mantenimiento simulado en la instancia. Después de completar esta operación, Memorystore para Valkey puede escribir datos de persistencia con la versión actualizada de la clave primaria.
Reemplaza una clave de KMS protegida
Si reemplazas una clave de KMS protegida por otra clave de KMS o una nueva versión de clave primaria, Memorystore para Valkey aplicará este cambio solo a las operaciones futuras.
Reemplazar una clave de KMS protegida afecta tus recursos de las siguientes maneras:
- Copias de seguridad: Todas las copias de seguridad posteriores se encriptan con la nueva clave de KMS. Las copias de seguridad existentes conservan sus claves originales.
- Persistencia: La próxima vez que se reinicie la instancia o que haya un evento de mantenimiento, se usará la nueva clave de KMS.
- Caché principal: Reemplazar esta clave no tiene ningún impacto. La CMEK no encripta los datos en la memoria, ya que no se consideran datos en reposo.
Habilita o restablece la versión de la clave de CMEK principal
Si habilitas o restableces la versión de clave primaria de tu CMEK, se aplican las siguientes condiciones para las copias de seguridad y la persistencia:
- Puedes volver a crear copias de seguridad automáticas y a pedido.
- Memorystore for Valkey realiza una actualización similar a la que se usa en el mantenimiento y vuelve a habilitar la persistencia.
Limitaciones
Se aplican las siguientes limitaciones cuando se usa la CMEK con Memorystore for Valkey:
- No puedes habilitar las CMEK en una instancia existente de Memorystore for Valkey.
- La clave, el llavero de claves y la instancia deben estar ubicados en la misma región.
- Debes usar el algoritmo de encriptación simétrica para tu clave.
- Los índices de encriptación y desencriptación de Cloud KMS están sujetos a una cuota.
Acerca de las restricciones de las políticas de la organización de CMEK
Memorystore para Valkey admite restricciones de políticas de la organización para CMEK. Con estas restricciones, puedes aplicar la protección de CMEK para tus instancias y limitar las claves de Cloud KMS que puedes usar para esta protección.
Puedes configurar las siguientes restricciones de políticas de la organización:
constraints/gcp.restrictNonCmekServices: Usa esta restricción para aplicar la protección con CMEK a tus instancias. Si la API de Memorystore para Valkey se encuentra en la lista de servicios de la políticaDenypara esta restricción, no podrás crear instancias no protegidas por CMEK.constraints/gcp.restrictCmekCryptoKeyProjects: Usa esta restricción para limitar las claves de Cloud KMS que puedes usar para la protección de CMEK. Si configuras esta restricción, las instancias que usan la encriptación con CMEK deben usar una clave de un proyecto, una carpeta o una organización permitidos.