Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על מפתחות הצפנה בניהול הלקוח (CMEK)

כברירת מחדל, תוכן של לקוחות מוצפן ב-Memorystore for Valkey במצב מנוחה. ‫Memorystore for Valkey מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Memorystore for Valkey. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של המפתחות הסימטריים להצפנת מפתחות (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבי Memorystore for Valkey דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

למי כדאי להשתמש ב-CMEK?

התכונה CMEK מיועדת לארגונים שיש להם נתונים רגישים או נתונים בפיקוח שחייבים להיות מוצפנים. כדי להחליט אם להשתמש ב-CMEK להצפנת הנתונים האלה, אפשר לקרוא את המאמר החלטה אם להשתמש ב-CMEK.

הצפנה בניהול Google לעומת הצפנה בניהול הלקוח

בעזרת התכונה CMEK תוכלו להשתמש במפתחות קריפטוגרפיים משלכם לנתונים במצב מנוחה ב-Memorystore for Valkey. במופעים של Memorystore for Valkey שמופעלת בהם התכונה CMEK,‏ Google משתמשת במפתחות שלכם כדי לגשת לכל הנתונים במצב מנוחה.

ב-Memorystore נעשה שימוש במפתחות להצפנת נתונים (DEK) ובמפתחות להצפנת מפתחות הצפנה (KEK) בניהול Google כדי להצפין נתונים ב-Memorystore for Valkey. יש שתי רמות של הצפנה:

הצפנת DEK:‏ Memorystore משתמש במפתחות DEK כדי להצפין נתונים ב-Memorystore for Valkey.
הצפנת KEK:‏ Memorystore משתמש במפתחות KEK כדי להצפין מפתחות DEK.

מופע Memorystore for Valkey מאחסן את ה-DEK המוצפן לצד הנתונים המוצפנים בדיסק, ו-Google מנהלת את ה-KEK של Google. מפתח ה-CMEK הוא מפתח ה-KEK שעוטף את מפתח ה-DEK. בעזרת CMEK תוכלו ליצור, להשבית או להשמיד, לבצע רוטציה ולהפעיל או לשחזר את מפתח ה-KEK.

בתרשימים הבאים מוצג איך הצפנת נתונים באחסון פועלת במופע של Memorystore for Valkey כשמשתמשים בהצפנה ש-Google מנהלת כברירת מחדל לעומת CMEK.

ללא CMEK

הנתונים מועלים ל-Google, מחולקים למקטעים וכל מקטע מוצפן באמצעות מפתח הצפנת נתונים משלו. מפתחות להצפנת נתונים (DEK) נעטפים באמצעות מפתח להצפנת מפתחות הצפנה (KEK). בהצפנה של Google שמוגדרת כברירת מחדל, מפתח הצפנת המפתח מאוחזר מ-Keystore הפנימי של Google. נתחים מוצפנים ומפתחות הצפנה עטופים מופצים בתשתית האחסון של Google.

עם CMEK

הנתונים מועלים ל-Google, מחולקים למקטעים וכל מקטע מוצפן באמצעות מפתח הצפנת נתונים משלו. מפתחות להצפנת נתונים (DEK) נעטפים באמצעות מפתח להצפנת מפתחות הצפנה (KEK). כשמשתמשים ב-CMEK באמצעות Cloud KMS, המפתח להצפנת מפתחות הצפנה מאוחזר מ-Cloud KMS. נתחים מוצפנים ומפתחות הצפנה עטופים מופצים בתשתית האחסון של Google.

כשמפענחים נתונים שעברו הצפנה באמצעות CMEK,‏ Memorystore משתמש במפתח להצפנת מפתחות (KEK) מ-Cloud Key Management Service כדי לפענח את המפתח להצפנת נתונים (DEK), ובמפתח הלא מוצפן להצפנת נתונים כדי לפענח את הנתונים באחסון.

מקטע נתונים מוצפן באמצעות DEK ומאוחסן עם DEK ארוז. בקשה לפתיחת האריזה של ה-DEK נשלחת אל Cloud KMS, שבו מאוחסן ה-KEK. ‫Cloud KMS מחזיר את ה-DEK שהאריזה שלו נפתחה.

תמחור

החיוב על מופע עם הפעלת CMEK ב-Memorystore for Valkey זהה לחיוב על כל מופע אחר, ואין עלויות נוספות. מידע נוסף זמין במאמר תמחור של Memorystore for Valkey.

משתמשים ב-Cloud KMS API כדי לנהל את ה-CMEK. כשיוצרים מופע של Memorystore for Valkey עם CMEK, ‏ Memorystore משתמש במפתח באופן תקופתי כדי להצפין את הנתונים.

תחויבו על ידי Cloud KMS בעלות המפתח ועל פעולות ההצפנה והפענוח כש-Memorystore for Valkey משתמש במפתח. מידע נוסף זמין במאמר תמחור של Cloud KMS.

אילו נתונים מוצפנים באמצעות CMEK?

מפתחות CMEK מצפינים את סוגי נתוני הלקוחות הבאים שמאוחסנים באחסון קבוע:

גיבויים: גיבויים מאפשרים לשחזר את הנתונים לנקודת זמן מסוימת, ולייצא ולנתח נתונים. גיבויים שימושיים גם לתוכנית התאוששות מאסון (DR), להעברת נתונים, לשיתוף נתונים ולתרחישי תאימות.
שמירה: ב-Memorystore for Valkey יש תמיכה בשני סוגים של שמירה:
- שמירת נתונים ב-RDB: התכונה הזו מגנה על הנתונים שלכם על ידי שמירת תמונות מצב של הנתונים באחסון עמיד.
- שמירת נתונים בפורמט AOF: התכונה הזו נותנת עדיפות לעמידות הנתונים. הוא מאחסן נתונים באופן עמיד על ידי תיעוד כל פקודת כתיבה בקובץ יומן שנקרא קובץ להוספה בלבד (AOF). אם מתרחשת כשל במערכת או הפעלה מחדש, השרת מפעיל מחדש את הפקודות בקובץ ה-AOF באופן רציף כדי לשחזר את הנתונים.

מידע על חשבונות שירות

כשיוצרים מכונה עם CMEK, צריך להקצות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter לחשבון השירות של Memorystore for Valkey בפורמט הבא:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

ההרשאה הזו מאפשרת לחשבון השירות לבקש גישה למפתחות מ-Cloud KMS.

הוראות למתן ההרשאה הזו לחשבון השירות מופיעות במאמר מתן גישה לחשבון השירות של Memorystore for Valkey למפתח.

מידע על מפתחות

ב-Cloud KMS, צריך ליצור אוסף מפתחות עם מפתח קריפטוגרפי שמשתמש באלגוריתם הצפנה סימטרי. כשיוצרים מופע של Memorystore for Valkey, בוחרים את המפתח הזה כדי להצפין את המופע. אתם יכולים ליצור פרויקט אחד גם למפתחות וגם למופעים, או פרויקטים שונים לכל אחד מהם.

הצפנת CMEK זמינה בכל המיקומים של מכונות Memorystore for Valkey. צריך ליצור את אוסף המפתחות ואת המפתח באותו אזור שבו רוצים ליצור את המכונה. במכונה שכוללת מספר אזורים, צריך להגדיר את אוסף המפתחות ואת המפתח באותו מיקום שבו נמצאת המכונה. אם האזורים או המיקומים לא זהים, הבקשה ליצירת המכונה תיכשל.

מפתח ה-CMEK משתמש בפורמט הבא למזהה המשאב של המפתח:

‫

projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

מפתחות חיצוניים

אתם יכולים להשתמש ב-Cloud External Key Manager‏ (Cloud EKM) כדי להצפין נתונים ב-Google Cloud באמצעות מפתחות חיצוניים שאתם מנהלים.

כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה על הזמינות של המפתח שמנוהל חיצונית. אם המפתח לא זמין כשיוצרים את המופע, המופע לא נוצר.

מידע נוסף על שיקולים לשימוש במפתחות חיצוניים זמין במאמר בנושא Cloud External Key Manager.

איך אפשר למנוע גישה לנתונים מוצפנים באמצעות CMEK באופן קבוע?

יכול להיות שיהיו מצבים שבהם תרצו להפוך נתונים שהוצפנו באמצעות CMEK לבלתי נגישים באופן קבוע. כדי לעשות את זה, משמידים את גרסת המפתח. מידע נוסף על השמדה של גרסאות המפתח זמין במאמר השמדה ושחזור של גרסאות מפתח.

התנהגות של גרסת מפתח CMEK

בקטע הזה מוסבר מה קורה כשמשביתים, משמידים, מבצעים רוטציה, מפעילים ומשחזרים גרסה של מפתח.

השבתה או השמדה של גרסת מפתח CMEK

אם משביתים או משמידים את גרסת המפתח הראשית של CMEK, התנאים הבאים חלים על גיבויים ועל נתונים קבועים.

גיבויים

אי אפשר ליצור גיבויים לפי דרישה או באופן אוטומטי. עם זאת, אם מפעילים גרסה ישנה יותר של מפתח, אפשר לגשת לכל הגיבויים שנוצרו באמצעות הגרסה הזו של המפתח.
אי אפשר לעדכן או להפעיל מחדש את הגיבויים האוטומטיים עד שמפעילים או משחזרים את הגרסה הראשית של המפתח.

התמדה

אם תגדירו את המופע שלכם לשימוש בהתמדה,‏ Memorystore for Valkey ישבית את תכונת ההתמדה אם גרסת המפתח לא תהיה זמינה. לא נחייב אתכם יותר על התכונה הזו.
ב-Memorystore for Valkey, נתונים חדשים לא נמחקים מאחסון מתמיד באמצעות CMEK.
‫Memorystore for Valkey לא יכול לקרוא נתונים קיימים שנמצאים באחסון הקבוע.
אי אפשר לעדכן או להפעיל מחדש את ההתמדה עד שמפעילים או משחזרים את גרסת המפתח הראשית.

אם מפעילים את גרסת המפתח הראשית של CMEK, אבל משביתים או משמידים גרסת מפתח ישנה יותר, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:

אתם יכולים ליצור גיבויים. עם זאת, אם הגיבוי מוצפן באמצעות גרסה ישנה יותר של מפתח שהושבת או נהרס, לא תהיה גישה לגיבוי.
אם מפעילים את ההתמדה, התכונה הזו נשארת מופעלת. אם הגרסה הישנה יותר של המפתח שמשמשת להתמדה מושבתת או נהרסת, אז Memorystore for Valkey מבצע עדכון שדומה לזה שמשמש בתחזוקה ומצפין מחדש את הנתונים באמצעות גרסת המפתח הראשית.

ביצוע רוטציה של הגרסה הראשית של מפתח ה-CMEK

אם מבצעים רוטציה של גרסת המפתח הראשי של CMEK ויוצרים גרסת מפתח ראשי חדשה, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:

הגרסה האחרונה של המפתח הראשי של ה-CMEK מצפינה גיבויים חדשים.
לגיבויים קיימים, לא מתבצעת הצפנה מחדש.
לצורך התמדה, הצמתים לא מבצעים שום פעולה. הצמתים ממשיכים להשתמש בגרסה הישנה יותר של המפתח עד לאירוע התחזוקה הבא.

הפעלה או שחזור של גרסת מפתח ה-CMEK הראשית

אם מפעילים או משחזרים את גרסת המפתח הראשית של מפתח CMEK, התנאים הבאים חלים על גיבויים ועל נתונים קבועים:

אתם יכולים ליצור שוב גיבויים לפי דרישה וגיבויים אוטומטיים.
‫Memorystore for Valkey מבצע עדכון שדומה לזה שמשמש בתחזוקה ומפעיל מחדש את ההתמדה.

מגבלות

ההגבלות הבאות חלות כשמשתמשים ב-CMEK עם Memorystore for Valkey:

אי אפשר להפעיל CMEK במופע קיים של Memorystore for Valkey.
המפתח, אוסף המפתחות והמופע צריכים להיות באותו אזור.
חובה להשתמש באלגוריתם הצפנה סימטרי בשביל המפתח.
קצב ההצפנה והפענוח של Cloud KMS תלוי במכסה.

מידע על אילוצים של מדיניות הארגון לגבי CMEK

‫Memorystore for Valkey תומך באילוצים של מדיניות הארגון לגבי CMEK. באמצעות האילוצים האלה, אתם יכולים לאכוף הגנה באמצעות CMEK על המכונות הווירטואליות שלכם ולהגביל את מפתחות Cloud KMS שבהם אתם יכולים להשתמש להגנה הזו.

אפשר להגדיר את האילוצים הבאים של מדיניות הארגון:

‫constraints/gcp.restrictNonCmekServices: משתמשים באילוץ הזה כדי לאכוף הגנה באמצעות CMEK על המקרים שלכם. אם Memorystore for Valkey API נמצא ברשימת השירותים של המדיניות Deny עבור האילוץ הזה, לא תוכלו ליצור מופעים שלא מוגנים באמצעות CMEK.
‫constraints/gcp.restrictCmekCryptoKeyProjects: משתמשים באילוץ הזה כדי להגביל את מפתחות Cloud KMS שאפשר להשתמש בהם להגנה באמצעות CMEK. אם מגדירים את האילוץ הזה, המופעים שמשתמשים בהצפנת CMEK חייבים להשתמש במפתח מפרויקט, מתיקייה או מארגון מורשים.