Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden

Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Memorystore for Valkey-Instanz, die vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwendet. Außerdem enthält es eine Anleitung zum Verwalten von Instanzen, die CMEK verwenden. Weitere Informationen zu CMEK für Memorystore for Valkey finden Sie unter Informationen zu vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK).

Hinweise

1. Sie benötigen die Memorystore-Administratorrolle für Ihr Nutzerkonto.

   Zur IAM-Seite

Workflow zum Erstellen einer Instanz, die CMEK verwendet

1. Erstellen Sie einen Schlüsselbund und einen Schlüssel an dem Ort, an dem sich die Memorystore for Valkey-Instanz befinden soll.

2. Kopieren oder notieren Sie sich den Schlüsselnamen (KEY_NAME), den Speicherort des Schlüssels und den Namen des Schlüsselbunds (KEY_RING). Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

3. Gewähren Sie dem Memorystore for Valkey-Dienstkonto Zugriff auf den Schlüssel.

4. Rufen Sie ein Projekt auf und erstellen Sie eine Memorystore for Valkey-Instanz mit aktiviertem CMEK in derselben Region wie der Schlüsselbund und der Schlüssel.

Ihre Memorystore for Valkey-Instanz ist jetzt mit CMEK aktiviert.

Schlüsselbund und Schlüssel erstellen

Erstellen Sie einen Schlüsselbund und einen Schlüssel. Beide müssen sich in derselben Region wie Ihre Memorystore for Valkey-Instanz befinden. Der Schlüssel kann aus einem anderen Projekt stammen, sofern er sich in derselben Region befindet. Außerdem muss der Schlüssel den symmetrischen Verschlüsselungsalgorithmus verwenden.

Nachdem Sie den Schlüsselbund und den Schlüssel erstellt haben, kopieren oder notieren Sie die KEY_NAME, den Speicherort des Schlüssels und die KEY_RING. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Dem Memorystore for Valkey-Dienstkonto Zugriff auf den Schlüssel gewähren

Bevor Sie eine Memorystore for Valkey-Instanz erstellen können, die CMEK verwendet, müssen Sie einem bestimmten Memorystore for Valkey-Dienstkonto Zugriff auf den Schlüssel gewähren.

So gewähren Sie Zugriff auf das Dienstkonto:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Memorystore for Valkey-Instanz erstellen, die CMEK verwendet

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Folgen Sie dieser Anleitung, um zu prüfen, ob CMEK für Ihre Instanz aktiviert ist, und um den aktiven Schlüssel aufzurufen.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

Schlüsselversionen verwalten

Informationen dazu, was passiert, wenn Sie eine Schlüsselversion deaktivieren, löschen, rotieren, aktivieren und wiederherstellen, finden Sie unter Verhalten einer CMEK-Schlüsselversion.

Eine Anleitung zum Deaktivieren und Reaktivieren von Schlüsselversionen finden Sie unter Schlüsselversionen aktivieren und deaktivieren.

Eine Anleitung zum Löschen und Wiederherstellen von Schlüsselversionen finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Nächste Schritte

• Weitere Informationen zu Sicherungen
• Weitere Informationen zur Persistenz