Halaman ini memberikan petunjuk untuk membuat instance Memorystore for Valkey yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Dokumen ini juga memberikan petunjuk untuk mengelola instance yang menggunakan CMEK. Untuk mengetahui informasi selengkapnya tentang CMEK untuk Memorystore untuk Valkey, lihat Tentang kunci enkripsi yang dikelola pelanggan (CMEK).
Sebelum memulai
Pastikan Anda memiliki peran Admin Memorystore di akun pengguna Anda.
Alur kerja untuk membuat instance yang menggunakan CMEK
Buat key ring dan kunci di lokasi tempat Anda ingin instance Memorystore for Valkey berada.
Salin atau tulis nama kunci (
KEY_NAME), lokasi kunci, dan nama key ring (KEY_RING). Anda memerlukan informasi ini saat memberi akun layanan akses ke kunci.Buka project dan buat instance Memorystore for Valkey dengan CMEK yang diaktifkan di region yang sama dengan key ring dan kunci.
Instance Memorystore for Valkey Anda kini diaktifkan dengan CMEK.
Membuat key ring dan kunci
Buat key ring dan kunci. Keduanya harus berada di region yang sama dengan instance Memorystore for Valkey Anda. Kunci dapat berasal dari project yang berbeda, asalkan kunci tersebut berada di region yang sama. Selain itu, kunci harus menggunakan algoritma enkripsi simetris.
Setelah membuat key ring dan kunci, salin atau tulis KEY_NAME, lokasi kunci, dan KEY_RING. Anda memerlukan informasi ini saat memberikan akses
akun layanan ke kunci.
Beri akun layanan Memorystore for Valkey akses ke kunci
Sebelum dapat membuat instance Memorystore for Valkey yang menggunakan CMEK, Anda harus memberi akun layanan Memorystore for Valkey tertentu akses ke kunci.
Untuk memberikan akses ke akun layanan, gunakan format berikut:
service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com
gcloud
Untuk memberikan akses akun layanan ke kunci, gunakan perintah gcloud kms keys add-iam-policy-binding. Ganti VARIABLES dengan nilai yang sesuai.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Membuat instance Memorystore for Valkey yang menggunakan CMEK
gcloud
Untuk membuat instance yang menggunakan CMEK, gunakan perintah gcloud memorystore instances
create. Ganti
VARIABLES dengan nilai yang sesuai.
gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE
Melihat informasi penting untuk instance yang mendukung CMEK
Ikuti petunjuk ini untuk melihat apakah CMEK diaktifkan untuk instance Anda, dan untuk melihat kunci aktif.
gcloud
Untuk memverifikasi apakah CMEK diaktifkan dan untuk melihat referensi kunci, gunakan perintah gcloud memorystore instances describe untuk melihat kolom encryptionInfo dan kmsKey. Ganti VARIABLES dengan nilai yang sesuai.
gcloud memorystore instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --location=REGION_ID
Mengelola versi kunci
Untuk mengetahui informasi tentang apa yang terjadi saat Anda menonaktifkan, menghancurkan, merotasi, mengaktifkan, dan memulihkan versi kunci, lihat Perilaku versi kunci CMEK.
Untuk mengetahui petunjuk cara menonaktifkan dan mengaktifkan kembali versi kunci, lihat Mengaktifkan dan menonaktifkan versi kunci.
Untuk mengetahui petunjuk tentang cara menghancurkan dan memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Langkah berikutnya
- Pelajari pencadangan lebih lanjut.
- Pelajari lebih lanjut persistensi.