Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Dengan menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Anda memiliki kontrol atas kunci Anda. Dengan demikian, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud Key Management Service (KMS).

Sebelum memulai

  1. Pastikan Anda memiliki peran Admin Memorystore di akun pengguna Anda.

    Buka halaman IAM

Alur kerja untuk membuat instance yang menggunakan CMEK

  1. Buat key ring dan kunci di lokasi tempat Anda ingin instance Memorystore untuk Valkey berada.

  2. Salin atau tulis nama kunci (KEY_NAME), lokasi kunci, dan nama key ring (KEY_RING). Anda memerlukan informasi ini saat memberi akun layanan akses ke kunci.

  3. Beri akun layanan Memorystore for Valkey akses ke kunci.

  4. Buka project dan buat instance Memorystore for Valkey dengan CMEK yang diaktifkan di region yang sama dengan key ring dan kunci.

Instance Memorystore for Valkey Anda kini diaktifkan dengan CMEK.

Membuat key ring dan kunci

Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan instance Memorystore for Valkey Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.

Setelah Anda membuat key ring dan kunci, salin atau catat KEY_NAME, lokasi kunci, dan KEY_RING. Anda memerlukan informasi ini saat memberikan akses akun layanan ke kunci.

Beri akun layanan Memorystore for Valkey akses ke kunci

Sebelum dapat membuat instance Memorystore for Valkey yang menggunakan CMEK, Anda harus memberikan akses akun layanan Memorystore for Valkey tertentu ke kunci tersebut.

Anda dapat memberikan akses akun layanan ke kunci menggunakan gcloud CLI. Untuk memberikan akses ke akun layanan, gunakan format berikut:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud

Untuk memberikan akses akun layanan ke kunci, gunakan perintah gcloud kms keys add-iam-policy-binding.

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Lakukan penggantian berikut:

  • PROJECT_ID: ID atau nomor project yang berisi ring kunci
  • REGION_ID: region tempat key ring berada
  • KEY_RING: nama key ring yang berisi kunci
  • KEY_NAME: nama kunci yang aksesnya Anda berikan ke akun layanan
  • PROJECT_NUMBER: ID atau nomor project yang berisi akun layanan

Membuat instance Memorystore for Valkey yang menggunakan CMEK

Anda dapat membuat instance yang menggunakan CMEK dengan gcloud CLI.

gcloud

Untuk membuat instance yang menggunakan CMEK, gunakan perintah gcloud memorystore instances create.

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

Lakukan penggantian berikut:

  • INSTANCE_ID: ID instance yang Anda buat.
  • PROJECT_NAME: nama project tempat Anda ingin membuat instance.
  • REGION_ID: ID region tempat Anda ingin menempatkan instance.
  • NETWORK_ID: ID jaringan yang ingin Anda gunakan untuk membuat instance.
  • KEY_RING: nama key ring yang berisi kunci.
  • KEY_NAME: nama kunci.
  • SHARD_NUMBER: jumlah shard yang Anda inginkan untuk instance.
  • PERSISTENCE_CONFIG_MODE: mode persistensi untuk instance. Anda dapat menyetel mode ini ke salah satu nilai berikut:
    • aof: Anda mengaktifkan persistensi berbasis File Hanya Tambah (AOF) untuk instance.
    • disabled: Anda menonaktifkan persistensi untuk instance.
    • rdb: Anda mengaktifkan persistensi berbasis Redis Database (RDB) untuk instance.

Melihat informasi penting untuk instance yang mendukung CMEK

Anda dapat melihat informasi tentang instance yang mendukung CMEK menggunakan gcloud CLI. Informasi ini mencakup apakah CMEK diaktifkan untuk instance Anda dan kunci aktif.

gcloud

Untuk memverifikasi apakah CMEK diaktifkan dan untuk melihat referensi kunci, gunakan perintah gcloud memorystore instances describe untuk melihat kolom encryptionInfo dan kmsKey.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

Lakukan penggantian berikut:

  • INSTANCE_ID: ID instance yang informasinya ingin Anda lihat
  • PROJECT_NAME: nama project yang berisi instance
  • REGION_ID: ID region tempat instance berada

Mengelola versi kunci

Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.

Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk mengetahui petunjuk tentang cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Langkah berikutnya