Utiliser des clés de chiffrement gérées par le client (CMEK)

Cette page explique comment créer une instance Memorystore pour Valkey qui utilise des clés de chiffrement gérées par le client (CMEK). Il fournit également des instructions pour gérer les instances qui utilisent CMEK. Pour en savoir plus sur les CMEK pour Memorystore pour Valkey, consultez À propos des clés de chiffrement gérées par le client (CMEK).

Avant de commencer

1. Assurez-vous que vous disposez du rôle d'administrateur Memorystore sur votre compte utilisateur.

   Accéder à la page IAM

Procédure permettant de créer une instance utilisant les CMEK

1. Créez un trousseau de clés et une clé à l'emplacement où vous souhaitez que l'instance Memorystore pour Valkey se trouve.

2. Copiez ou notez le nom de la clé (KEY_NAME), son emplacement et le nom du trousseau de clés (KEY_RING). Vous aurez besoin de ces informations lorsque vous accorderez à la clé l'accès au compte de service.

3. Accordez au compte de service Memorystore pour Valkey l'accès à la clé.

4. Accédez à un projet et créez une instance Memorystore pour Valkey avec CMEK activé dans la même région que le trousseau de clés et la clé.

Votre instance Memorystore pour Valkey est désormais activée avec CMEK.

Créer un trousseau de clés et une clé

Créez un trousseau de clés et une clé. Les deux doivent se trouver dans la même région que votre instance Memorystore pour Valkey. La clé peut provenir d'un autre projet, à condition qu'elle se trouve dans la même région. De plus, la clé doit utiliser l'algorithme de chiffrement symétrique.

Une fois le trousseau de clés et la clé créés, copiez ou notez le KEY_NAME, l'emplacement de la clé et le KEY_RING. Vous avez besoin de ces informations lorsque vous accordez à la clé l'accès au compte de service.

Accorder au compte de service Memorystore pour Valkey l'accès à la clé

Avant de pouvoir créer une instance Memorystore pour Valkey qui utilise CMEK, vous devez accorder à un compte de service Memorystore pour Valkey spécifique l'accès à la clé.

Pour accorder l'accès au compte de service, utilisez le format suivant :

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Créer une instance Memorystore pour Valkey qui utilise une clé CMEK

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

Afficher les informations sur les clés d'une instance configurée pour utiliser les CMEK

Suivez ces instructions pour vérifier si CMEK est activé pour votre instance et pour afficher la clé active.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

Gérer les versions de clé

Pour en savoir plus sur ce qui se passe lorsque vous désactivez, détruisez, faites pivoter, activez ou restaurez une version de clé, consultez Comportement d'une version de clé CMEK.

Pour savoir comment désactiver et réactiver des versions de clé, consultez Activer et désactiver des versions de clé.

Pour savoir comment détruire et restaurer des versions de clé, consultez Détruire et restaurer des versions de clé.

Étapes suivantes

• En savoir plus sur les sauvegardes
• En savoir plus sur la persistance