Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Dengan menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Anda memiliki kontrol atas kunci Anda. Hal ini memberi Anda kontrol atas tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud Key Management Service (KMS).

Sebelum memulai

  1. Pastikan Anda memiliki peran Admin Memorystore role di akun pengguna Anda.

    Buka halaman IAM

Alur kerja untuk membuat instance yang menggunakan CMEK

  1. Buat key ring dan kunci di lokasi tempat Anda ingin instance Memorystore for Valkey berada.

  2. Salin atau tulis nama kunci (KEY_NAME), lokasi kunci, dan nama key ring (KEY_RING). Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.

  3. Beri akun layanan Memorystore for Valkey akses ke kunci.

  4. Buka project dan buat instance Memorystore for Valkey dengan CMEK diaktifkan di region yang sama dengan key ring dan kunci.

Instance Memorystore for Valkey Anda sekarang diaktifkan dengan CMEK.

Membuat key ring dan kunci

Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan instance Memorystore for Valkey Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.

Setelah membuat key ring dan kunci, salin atau tulis KEY_NAME, lokasi kunci, dan KEY_RING. Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.

Memberi akun layanan Memorystore for Valkey akses ke kunci

Sebelum dapat membuat instance Memorystore for Valkey yang menggunakan CMEK, Anda harus memberikan akses akun layanan Memorystore for Valkey tertentu ke kunci.

Anda dapat memberikan akses akun layanan ke kunci menggunakan gcloud CLI. Untuk memberikan akses ke akun layanan, gunakan format berikut:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud

Untuk memberikan akses akun layanan ke kunci, gunakan gcloud kms keys add-iam-policy-binding perintah.

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Lakukan penggantian berikut:

  • PROJECT_ID: ID atau nomor project yang berisi key ring
  • REGION_ID: region tempat key ring berada
  • KEY_RING: nama key ring yang berisi kunci
  • KEY_NAME: nama kunci yang aksesnya Anda berikan ke akun layanan
  • PROJECT_NUMBER: ID atau nomor project yang berisi akun layanan

Membuat instance Memorystore for Valkey yang menggunakan CMEK

Anda dapat membuat instance yang menggunakan CMEK menggunakan gcloud CLI.

gcloud

Untuk membuat instance yang menggunakan CMEK, gunakan perintah gcloud memorystore instances create.

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

Lakukan penggantian berikut:

  • INSTANCE_ID: ID instance yang Anda buat.
  • PROJECT_NAME: nama project tempat Anda ingin membuat instance.
  • REGION_ID: ID region tempat Anda ingin instance berada.
  • NETWORK_ID: ID jaringan yang ingin Anda gunakan untuk membuat instance.
  • KEY_RING: nama key ring yang berisi kunci.
  • KEY_NAME: nama kunci.
  • SHARD_NUMBER: jumlah shard yang ingin Anda miliki untuk instance.
  • PERSISTENCE_CONFIG_MODE: mode persistensi untuk instance. Anda dapat menetapkan mode ini ke salah satu nilai berikut:
    • aof: Anda mengaktifkan persistensi berbasis Append-Only File (AOF) untuk instance.
    • disabled: Anda menonaktifkan persistensi untuk instance.
    • rdb: Anda mengaktifkan persistensi berbasis Redis Database (RDB) untuk instance.

Melihat informasi penting untuk instance yang mendukung CMEK

Anda dapat melihat informasi tentang instance yang mendukung CMEK menggunakan gcloud CLI. Informasi ini mencakup apakah CMEK diaktifkan untuk instance Anda dan kunci aktif.

gcloud

Untuk memverifikasi apakah CMEK diaktifkan dan melihat referensi kunci, gunakan perintah gcloud memorystore instances describe untuk melihat kolom encryptionInfo dan kmsKey.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

Lakukan penggantian berikut:

  • INSTANCE_ID: ID instance yang informasinya ingin Anda lihat
  • PROJECT_NAME: nama project yang berisi instance
  • REGION_ID: ID region tempat instance berada

Mengelola versi kunci

Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.

Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk mengetahui petunjuk cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Langkah berikutnya