本页面介绍了为您的 Memorystore for Valkey 实例提供的安全性。
Memorystore for Valkey 实例无法公开访问。对 实例的访问权限仅限于可以访问为该实例配置的 Private Service Connect 端点的客户端。如需了解如何设置 连接,请参阅网络设置指南。
Memorystore for Valkey 实例的管理使用基于 Identity and Access Management (IAM) 角色的访问权限控制来保护。如需了解详情,请参阅 访问权限控制。
加密
根据 Google Cloud 对任何虚拟机到虚拟机流量的默认 保护,进出 Memorystore for Valkey 的所有网络数据在传输过程中都会在 网络级进行加密。
Memorystore for Valkey 不会对内存中的数据进行加密。此外,Memorystore for Valkey 还支持无磁盘复制。除非您启用 持久性, 否则 Memorystore for Valkey 在复制期间不会使用磁盘。
通过启用持久性,Memorystore for Valkey 默认会对您的数据进行加密。 不过,如果您想要控制加密密钥,则可以将 客户管理的加密密钥 (CMEK) 在 Cloud Key Management Service (Cloud KMS) 中与集成 CMEK 的服务(包括 Memorystore for Valkey)结合使用。
安全性方面的最佳实践
我们建议您使用受信任环境中的受信任客户端访问您的 Memorystore for Valkey 实例。请勿将实例直接暴露给互联网,或者通常暴露给不受信任的客户端可以直接访问实例的 TCP 端口或 UNIX 套接字的环境。
例如,如果 Web 应用使用实例作为数据库、缓存或消息传递系统,则应用前端(Web 端)内的客户端会查询该实例以生成页面或执行用户请求的操作。在这种情况下,Web 应用会调解实例与不受信任的客户端之间的访问。这些客户端是访问 Web 应用的用户浏览器。
我们建议您使用执行以下操作的层来调解对实例的不受信任的访问:
- 实现访问权限控制列表 (ACL)
- 验证用户输入
- 决定要对实例执行哪些操作
如需详细了解 Valkey 的安全性,请参阅 Valkey 安全性。