Questa pagina descrive la sicurezza fornita per l'istanza Memorystore for Valkey.
Un'istanza Memorystore for Valkey non è accessibile pubblicamente. L'accesso a l'istanza è limitato solo ai client che possono accedere all'endpoint Private Service Connect configurato per l'istanza. Per istruzioni sulla configurazione della connettività, consulta la guida alla configurazione della rete.
La gestione delle istanze Memorystore for Valkey è protetta tramite il controllo dell'accesso basato sui ruoli di Identity and Access Management (IAM). Per ulteriori informazioni, consulta Controllo dell'accesso.
Crittografia
Tutti i dati di rete da e verso Memorystore for Valkey vengono criptati in transito a livello di rete in base alla protezione predefinita di Google Cloud protezione per qualsiasi traffico da VM a VM.
Memorystore for Valkey non cripta i dati in memoria. Inoltre, Memorystore for Valkey supporta la replica senza disco. A meno che tu non attivi la persistenza, Memorystore for Valkey non utilizza i dischi durante la replica.
Se attivi la persistenza, Memorystore for Valkey cripta i dati per impostazione predefinita. Tuttavia, se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud Key Management Service (Cloud KMS) con i servizi integrati con CMEK, incluso Memorystore for Valkey.
Best practice per la sicurezza
Ti consigliamo di accedere all'istanza Memorystore for Valkey utilizzando client attendibili all'interno degli ambienti attendibili. Non esporre l'istanza direttamente a internet o, in generale, a un ambiente in cui i client non attendibili possono accedere direttamente alla porta TCP o al socket UNIX dell'istanza.
Ad esempio, se un'applicazione web utilizza un'istanza come database, cache o sistema di messaggistica, i client all'interno del frontend (il lato web) dell'applicazione eseguono query sull'istanza per generare pagine o eseguire operazioni richieste dall'utente. In questo caso, l'applicazione web media l'accesso tra l'istanza e i client non attendibili. Questi client sono i browser degli utenti che accedono all'applicazione web.
Ti consigliamo di mediare l'accesso non attendibile all'istanza utilizzando un livello che:
- Implementa gli elenchi di controllo dell'accesso (ACL)
- Convalida gli input dell'utente
- Decide quali operazioni eseguire sull'istanza
Per ulteriori informazioni sulla sicurezza dal punto di vista di Valkey, consulta Sicurezza di Valkey.