このページでは、Memorystore for Valkey インスタンスに提供されるセキュリティについて説明します。
Memorystore for Valkey インスタンスは一般に公開されていません。インスタンスへのアクセスは、インスタンス用に構成された Private Service Connect エンドポイントにアクセスできるクライアントにのみ制限されます。接続の設定手順については、ネットワーク設定のガイダンスをご覧ください。
Memorystore for Valkey インスタンスの管理は、Identity and Access Management(IAM)のロールベースのアクセス制御を使用して保護されます。詳細については、アクセス制御をご覧ください。
暗号化
Memorystore for Valkey との間のすべてのネットワーク データは、VM 間トラフィックに対する Google Cloud のデフォルトの保護設定に従って、ネットワーク レベルで転送中に暗号化されます。
Memorystore for Valkey は、メモリ内のデータを暗号化しません。また、Memorystore for Valkey はディスクレス レプリケーションをサポートしています。永続性を有効にしない限り、Memorystore for Valkey はレプリケーション中にディスクを使用しません。
永続化を有効にすると、Memorystore for Valkey はデフォルトでデータを暗号化します。ただし、暗号鍵を管理する場合は、Cloud Key Management Service(Cloud KMS)の顧客管理の暗号鍵(CMEK)を、Memorystore for Valkey などの CMEK 統合サービスで使用できます。
セキュリティに関するベスト プラクティス
信頼できる環境内の信頼できるクライアントを使用して Memorystore for Valkey インスタンスにアクセスすることをおすすめします。インスタンスをインターネットに直接公開したり、一般に、信頼できないクライアントがインスタンスの TCP ポートまたは UNIX ソケットに直接アクセスできる環境に公開したりしないでください。
たとえば、ウェブ アプリケーションがインスタンスをデータベース、キャッシュ、メッセージング システムとして使用している場合、アプリケーションのフロントエンド(ウェブ側)内のクライアントは、インスタンスにクエリを実行してページを生成したり、ユーザーがリクエストしたオペレーションを実行したりします。この場合、ウェブ アプリケーションはインスタンスと信頼できないクライアント間のアクセスを仲介します。これらのクライアントは、ウェブ アプリケーションにアクセスするユーザーのブラウザです。
次の処理を行うレイヤを使用して、インスタンスへの信頼できないアクセスを仲介することをおすすめします。
- アクセス制御リスト(ACL)を実装する
- ユーザー入力を検証する
- インスタンスに対して実行するオペレーションを決定する
Valkey のセキュリティの詳細については、Valkey のセキュリティをご覧ください。