Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש במפתחות הצפנה בניהול הלקוח (CMEK)

כשמשתמשים במפתחות הצפנה בניהול הלקוח (CMEK), יש שליטה במפתחות. כך אתם יכולים לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה הסימטריים (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud Key Management Service‏ (KMS).

לפני שמתחילים

מוודאים שיש לכם תפקיד אדמין ב-Memorystore בחשבון המשתמש.

לדף IAM

תהליך עבודה ליצירת מכונה שמשתמשת ב-CMEK

יוצרים אוסף מפתחות ומפתח במיקום שבו רוצים ליצור את מופע Memorystore for Valkey.
מעתיקים או רושמים את שם המפתח (KEY_NAME), את המיקום של המפתח ואת השם של מחזיק המפתחות (KEY_RING). תצטרכו את המידע הזה כשתעניקו לחשבון השירות גישה למפתח.
מעניקים לחשבון השירות של Memorystore for Valkey גישה למפתח.
עוברים לפרויקט ויוצרים מכונה של Memorystore for Valkey עם הפעלת CMEK באותו אזור שבו נמצאים אוסף המפתחות והמפתח.

הפעלתם הצפנת CMEK במופע Memorystore for Valkey.

יצירה של אוסף מפתחות ומפתח

יוצרים אוסף מפתחות ומפתח. שניהם צריכים להיות באותו אזור כמו מופע Memorystore for Valkey. המפתח יכול להיות מפרויקט אחר, כל עוד הוא נמצא באותו אזור. בנוסף, המפתח חייב להשתמש באלגוריתם הצפנה סימטרי.

אחרי שיוצרים את אוסף המפתחות ואת המפתח, מעתיקים או רושמים את KEY_NAME, את מיקום המפתח ואת KEY_RING. המידע הזה נדרש כשנותנים לחשבון השירות גישה למפתח.

מעניקים לחשבון השירות של Memorystore for Valkey גישה למפתח

כדי ליצור מופע של Memorystore for Valkey שמשתמש ב-CMEK, צריך קודם להעניק לחשבון שירות ספציפי של Memorystore for Valkey גישה למפתח.

אפשר להעניק לחשבון השירות גישה למפתח באמצעות ה-CLI של gcloud. כדי להעניק גישה לחשבון השירות, משתמשים בפורמט הבא:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud

כדי לתת לחשבון השירות גישה למפתח, משתמשים בפקודה gcloud kms keys add-iam-policy-binding.

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

מחליפים את הפרטים הבאים:

‫PROJECT_ID: המזהה או המספר של הפרויקט שמכיל את מחזיק המפתחות
‫REGION_ID: האזור שבו נמצא אוסף המפתחות
‫KEY_RING: השם של אוסף המפתחות שמכיל את המפתח
‫KEY_NAME: השם של המפתח שרוצים להעניק לו גישה לחשבון השירות
‫PROJECT_NUMBER: המזהה או המספר של הפרויקט שמכיל את חשבון השירות

יצירת מכונת Memorystore for Valkey שמשתמשת ב-CMEK

אפשר ליצור מכונה שמשתמשת ב-CMEK באמצעות ה-CLI של gcloud.

gcloud

כדי ליצור מכונה שמשתמשת ב-CMEK, משתמשים בפקודה gcloud memorystore instances create.

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

מחליפים את הפרטים הבאים:

‫INSTANCE_ID: המזהה של המכונה שיוצרים.
‫PROJECT_NAME: השם של הפרויקט שבו רוצים ליצור את המכונה.
‫REGION_ID: המזהה של האזור שבו רוצים למקם את המכונה.
‫NETWORK_ID: המזהה של הרשת שרוצים להשתמש בה כדי ליצור את המכונה.
‫KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
‫KEY_NAME: השם של המפתח.
‫SHARD_NUMBER: מספר הרסיסים שרוצים שיהיו למופע.
‫PERSISTENCE_CONFIG_MODE: מצב ההתמדה של המופע. אפשר להגדיר את המצב הזה לאחד מהערכים הבאים:
- ‫aof: מפעילים את ההתמדה (persistence) של המופע על בסיס קובץ להוספה בלבד (AOF).
- ‫disabled: השבתת ההתמדה של המכונה.
- ‫rdb: מפעילים את ההתמדה מבוססת-Redis Database‏ (RDB) עבור המכונה.

צפייה בפרטי המפתח של מופע שמופעל בו CMEK

אפשר להציג מידע על מכונה עם CMEK באמצעות ה-CLI של gcloud. המידע הזה כולל את השאלה אם CMEK מופעל במופע ואת המפתח הפעיל.

gcloud

כדי לוודא שהצפנת CMEK מופעלת ולראות את הפניה למפתח, משתמשים בפקודה gcloud memorystore instances describe כדי להציג את השדות encryptionInfo ו-kmsKey.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

מחליפים את הפרטים הבאים:

‫INSTANCE_ID: המזהה של המופע שרוצים להציג מידע לגביו
‫PROJECT_NAME: השם של הפרויקט שמכיל את המכונה
‫REGION_ID: מזהה האזור שבו נמצאת המכונה

ניהול גרסאות של מפתחות

מידע על מה שקורה כשמשביתים, משמידים, מחליפים, מפעילים ומשחזרים גרסת מפתח CMEK זמין במאמר התנהגות של גרסת מפתח CMEK.

הוראות להשבתה ולהפעלה מחדש של גרסאות מפתח מופיעות במאמר הפעלה והשבתה של גרסאות מפתח.

הוראות להשמדה ולשחזור של גרסאות מפתח מופיעות במאמר השמדה ושחזור של גרסאות מפתח.

שימוש במפתחות הצפנה בניהול הלקוח (CMEK) קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

תהליך עבודה ליצירת מכונה שמשתמשת ב-CMEK

יצירה של אוסף מפתחות ומפתח

מעניקים לחשבון השירות של Memorystore for Valkey גישה למפתח

gcloud

יצירת מכונת Memorystore for Valkey שמשתמשת ב-CMEK

gcloud

צפייה בפרטי המפתח של מופע שמופעל בו CMEK

gcloud

ניהול גרסאות של מפתחות

המאמרים הבאים

שימוש במפתחות הצפנה בניהול הלקוח (CMEK)