כברירת מחדל, תוכן של לקוחות מוצפן ב-Memorystore for Valkey במצב מנוחה. Memorystore for Valkey מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.
אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Memorystore for Valkey. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות להצפנת מפתחות (KEK) סימטריים ותנהל אותם כדי להגן על הנתונים שלכם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.
אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבי Memorystore for Valkey דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).
למי כדאי להשתמש ב-CMEK?
הצפנת CMEK מיועדת לארגונים שבהם יש נתונים רגישים או נתונים בפיקוח שחייבים להיות מוצפנים. מידע נוסף על השימוש ב-CMEK להצפנת הנתונים האלה זמין במאמר האם כדאי להשתמש ב-CMEK.
הצפנה בניהול Google לעומת הצפנה בניהול הלקוח
בעזרת התכונה CMEK תוכלו להשתמש במפתחות קריפטוגרפיים משלכם כדי להצפין נתונים במנוחה ב-Memorystore for Valkey. במקרים של מופעי Memorystore for Valkey שמופעל בהם CMEK, Google משתמשת במפתחות שלכם כדי לגשת לכל הנתונים במצב מנוחה.
ב-Memorystore נעשה שימוש במפתחות להצפנת נתונים (DEK) ובמפתחות להצפנת מפתחות הצפנה (KEK) בניהול Google כדי להצפין נתונים ב-Memorystore for Valkey. יש שתי רמות של הצפנה:
- הצפנת DEK: Memorystore משתמש במפתחות DEK כדי להצפין נתונים ב-Memorystore for Valkey.
- הצפנת KEK: Memorystore משתמש במפתחות KEK כדי להצפין מפתחות DEK.
מופע Memorystore for Valkey מאחסן את ה-DEK המוצפן לצד הנתונים המוצפנים בדיסק, ו-Google מנהלת את ה-KEK של Google. מפתח ה-CMEK הוא מפתח ה-KEK שעוטף את מפתח ה-DEK. באמצעות CMEK אפשר ליצור, להשבית או להרוס, לסובב ולהפעיל או לשחזר את ה-KEK.
בתרשימים הבאים מוצג איך הצפנת נתונים באחסון פועלת במופע של Memorystore for Valkey כשמשתמשים בהצפנה ש-Google מנהלת כברירת מחדל לעומת CMEK.
ללא CMEK
עם CMEK
כשמפענחים נתונים שעברו הצפנה באמצעות CMEK, Memorystore משתמש במפתח להצפנת מפתחות (KEK) מ-Cloud Key Management Service כדי לפענח את המפתח להצפנת נתונים (DEK), ובמפתח הלא מוצפן להצפנת נתונים כדי לפענח את הנתונים באחסון.

תמחור
החיוב על מופע עם הפעלת CMEK ב-Memorystore for Valkey זהה לחיוב על כל מופע אחר, ואין עלויות נוספות. מידע נוסף זמין במאמר תמחור של Memorystore for Valkey.
משתמשים ב-Cloud KMS API כדי לנהל את ה-CMEK. כשיוצרים מופע של Memorystore for Valkey עם CMEK, Memorystore משתמש במפתח באופן תקופתי כדי להצפין את הנתונים.
תחויבו על ידי Cloud KMS בעלות המפתח ועל פעולות ההצפנה והפענוח כש-Memorystore for Valkey משתמש במפתח. מידע נוסף זמין במאמר תמחור של Cloud KMS.
אילו נתונים מוצפנים באמצעות CMEK?
מפתחות CMEK מצפינים את סוגי נתוני הלקוחות הבאים שמאוחסנים באחסון קבוע:
- גיבויים: גיבויים מאפשרים לכם לשחזר את הנתונים לנקודת זמן מסוימת, ולייצא ולנתח נתונים. גיבויים שימושיים גם לתרחישים של תוכנית התאוששות מאסון (DR), העברת נתונים, שיתוף נתונים ותאימות.
- עמידות:
Memorystore for Valkey תומך בשני סוגים של עמידות:
- שמירת נתונים ב-RDB: התכונה הזו מגנה על הנתונים שלכם על ידי שמירת תמונות מצב של הנתונים באחסון עמיד.
- שמירת נתונים בפורמט AOF: התכונה הזו נותנת עדיפות לעמידות הנתונים. הוא שומר את הנתונים באופן עמיד על ידי תיעוד כל פקודת כתיבה בקובץ יומן שנקרא Append-Only File (קובץ להוספה בלבד, AOF). אם מתרחשת כשל במערכת או הפעלה מחדש, השרת מפעיל מחדש את הפקודות בקובץ ה-AOF באופן רציף כדי לשחזר את הנתונים.
מידע על חשבונות שירות
כשיוצרים מכונה עם CMEK, צריך להקצות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter לחשבון השירות של Memorystore for Valkey בפורמט הבא:
service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com
ההרשאה הזו מאפשרת לחשבון השירות לבקש גישה למפתחות מ-Cloud KMS.
הוראות למתן ההרשאה הזו לחשבון השירות מופיעות במאמר מתן גישה לחשבון השירות של Memorystore for Valkey למפתח.
מידע על מפתחות
ב-Cloud KMS, צריך ליצור אוסף מפתחות עם מפתח קריפטוגרפי שמשתמש באלגוריתם הצפנה סימטרי. כשיוצרים מופע של Memorystore for Valkey, בוחרים את המפתח הזה כדי להצפין את המופע. אתם יכולים ליצור פרויקט אחד גם למפתחות וגם למופעים, או פרויקטים שונים לכל אחד מהם.
הצפנת CMEK זמינה בכל המיקומים של מופעי Memorystore for Valkey. צריך ליצור את אוסף המפתחות ואת המפתח באותו אזור שבו רוצים ליצור את המופע. במקרה של מופע רב-אזורי, צריך להגדיר את אוסף המפתחות ואת המפתח לאותו מיקום כמו המופע. אם האזורים או המיקומים לא תואמים, הבקשה ליצירת המכונה תיכשל.
מפתח ה-CMEK משתמש בפורמט הבא למזהה המשאב של המפתח:
projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
מפתחות חיצוניים
אתם יכולים להשתמש ב-Cloud External Key Manager (Cloud EKM) כדי להצפין נתונים ב-Google Cloud באמצעות מפתחות חיצוניים שאתם מנהלים.
כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה בזמינות של המפתח שמנוהל חיצונית. אם המפתח לא זמין כשיוצרים את המופע, המופע לא נוצר.
מידע נוסף על שיקולים לשימוש במפתחות חיצוניים זמין במאמר בנושא Cloud External Key Manager.
איך אפשר למנוע גישה לנתונים מוצפנים באמצעות CMEK באופן קבוע?
יכול להיות שיהיו מצבים שבהם תרצו להפוך נתונים שהוצפנו באמצעות CMEK לבלתי נגישים באופן קבוע. כדי לעשות את זה, משמידים את גרסת המפתח. מידע נוסף על השמדה של גרסאות המפתח זמין במאמר השמדה ושחזור של גרסאות מפתח.
התנהגות של גרסת מפתח CMEK
בקטע הזה מוסבר מה קורה כשמשביתים, משמידים, מבצעים רוטציה, מפעילים ומשחזרים גרסה של מפתח.
השבתה או השמדה של גרסת מפתח CMEK
אם משביתים או משמידים את גרסת המפתח הראשית של מפתח CMEK, התנאים הבאים חלים על גיבויים ועל נתונים קבועים.
גיבויים
- אי אפשר ליצור גיבויים לפי דרישה או באופן אוטומטי. עם זאת, אם מפעילים גרסה ישנה יותר של מפתח, אפשר לגשת לכל הגיבויים שנוצרו באמצעות גרסת המפתח הזו.
- אי אפשר לעדכן או להפעיל מחדש את הגיבויים האוטומטיים עד שמפעילים או משחזרים את הגרסה הראשית של המפתח.
התמדה
- אם תגדירו את המופע שלכם לשימוש בהתמדה, Memorystore for Valkey ישבית את תכונת ההתמדה כשהגרסה של המפתח לא תהיה זמינה. לא נחייב אתכם יותר על התכונה הזו.
- Memorystore for Valkey לא מרוקן נתונים חדשים לאחסון מתמיד באמצעות CMEK.
- Memorystore for Valkey לא יכול לקרוא נתונים קיימים שנמצאים באחסון הקבוע.
- אי אפשר לעדכן או להפעיל מחדש את ההתמדה עד שמפעילים או משחזרים את גרסת המפתח הראשית.
אם מפעילים את גרסת המפתח הראשית של CMEK, אבל משביתים או משמידים גרסת מפתח ישנה יותר, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
- אתם יכולים ליצור גיבויים. עם זאת, אם הגיבוי מוצפן באמצעות גרסה ישנה יותר של מפתח שהושבת או נהרס, לא תהיה גישה לגיבוי.
- אם מפעילים את ההתמדה, התכונה הזו נשארת מופעלת. אם הגרסה הישנה יותר של המפתח שמשמשת להתמדה מושבתת או נהרסת, אז Memorystore for Valkey מבצע עדכון שדומה לזה שמשמש בתחזוקה ומצפין מחדש את הנתונים באמצעות גרסת המפתח הראשית.
ביצוע רוטציה של הגרסה הראשית של מפתח CMEK
אם מבצעים רוטציה של גרסת המפתח הראשי של CMEK ויוצרים גרסת מפתח ראשי חדשה, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
- הגרסה האחרונה של המפתח הראשי של ה-CMEK מצפינה גיבויים חדשים.
- לגיבויים קיימים לא מתבצעת הצפנה מחדש.
- כדי לשמור על העקביות, הצמתים לא מבצעים פעולה כלשהי. הצמתים ממשיכים להשתמש בגרסה הישנה יותר של המפתח עד לאירוע התחזוקה הבא.
הצפנה מחדש של נתונים שמוגנים באמצעות CMEK באופן ידני
Memorystore for Valkey לא תומך בהצפנה מחדש של נתונים קיימים במנוחה לפי דרישה. אי אפשר להפעיל תהליך באופן ידני כדי להשתמש בגרסה חדשה של מפתח להצפנה מחדש של גיבויים קיימים או קבצים פעילים של נתונים קבועים. עם זאת, אפשר להשתמש בגרסת המפתח החדשה כדי להצפין נתונים חדשים שנכתבו.
אם מבצעים סיבוב של מפתח וצריך לכפות על מופע להשתמש בגרסה החדשה של המפתח, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
גיבויים
אי אפשר להצפין מחדש גיבויים קיימים. אם התאימות מחייבת שכל הנתונים יוצפנו באמצעות המפתח החדש ביותר, צריך ליצור גיבוי שמשתמש במפתח הזה, ואז למחוק את הגיבויים הקיימים באופן ידני. אפשר גם לייצא את הגיבוי הזה לקטגוריה של Cloud Storage כדי להשתמש במפתח ההצפנה של Cloud Storage.
התמדה
כדי לכפות הפעלה של מפתח KMS חדש, אפשר להריץ תחזוקה מדומה במופע. אחרי שתשלימו את הפעולה הזו, Memorystore for Valkey יוכל לכתוב נתוני קביעות באמצעות הגרסה המעודכנת של המפתח הראשי.
החלפה של מפתח KMS מוגן
אם מחליפים מפתח KMS מוגן במפתח KMS אחר או בגרסה חדשה של מפתח ראשי, השינוי הזה יחול ב-Memorystore for Valkey רק על פעולות עתידיות.
החלפה של מפתח KMS מוגן משפיעה על המשאבים שלכם בדרכים הבאות:
- גיבויים: כל הגיבויים הבאים מוצפנים באמצעות מפתח ה-KMS החדש. הגיבויים הקיימים שומרים על המפתחות המקוריים שלהם.
- התמדה: בפעם הבאה שהמופע יופעל מחדש או שיתרחש בו אירוע תחזוקה, ייעשה שימוש במפתח ה-KMS החדש.
- מטמון ראשי: אין השפעה להחלפת המפתח הזה. הצפנה באמצעות CMEK לא חלה על נתונים בזיכרון, כי הם לא נחשבים נתונים במנוחה.
הפעלה או שחזור של גרסת מפתח CMEK ראשית
אם מפעילים או משחזרים את גרסת המפתח הראשית של מפתח CMEK, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:
- אפשר ליצור שוב גיבויים לפי דרישה וגיבויים אוטומטיים.
- Memorystore for Valkey מבצע עדכון שדומה לזה שמשמש בתחזוקה ומפעיל מחדש את ההתמדה.
מגבלות
ההגבלות הבאות חלות כשמשתמשים ב-CMEK עם Memorystore for Valkey:
- אי אפשר להפעיל CMEK במופע קיים של Memorystore for Valkey.
- המפתח, אוסף המפתחות והמופע צריכים להיות באותו אזור.
- חובה להשתמש באלגוריתם הצפנה סימטרי בשביל המפתח.
- קצב ההצפנה והפענוח של Cloud KMS תלוי במכסה.
מידע על אילוצים של מדיניות הארגון לגבי CMEK
Memorystore for Valkey תומך באילוצים של מדיניות הארגון לגבי CMEK. באמצעות האילוצים האלה, אתם יכולים לאכוף הגנה באמצעות CMEK על המכונות הווירטואליות שלכם ולהגביל את מפתחות Cloud KMS שבהם אתם יכולים להשתמש להגנה הזו.
אפשר להגדיר את האילוצים הבאים של מדיניות הארגון:
-
constraints/gcp.restrictNonCmekServices: משתמשים באילוץ הזה כדי לאכוף הגנה באמצעות CMEK על המופעים. אם Memorystore for Valkey API נמצא ברשימת השירותים של המדיניותDenyעבור האילוץ הזה, לא תוכלו ליצור מופעים שלא מוגנים באמצעות CMEK. -
constraints/gcp.restrictCmekCryptoKeyProjects: משתמשים באילוץ הזה כדי להגביל את מפתחות Cloud KMS שאפשר להשתמש בהם להגנה באמצעות CMEK. אם מגדירים את האילוץ הזה, המופעים שמשתמשים בהצפנת CMEK חייבים להשתמש במפתח מפרויקט, מתיקייה או מארגון מורשים.