Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Questa pagina fornisce istruzioni per creare un'istanza Memorystore for Valkey che utilizza chiavi di crittografia gestite dal cliente (CMEK). Fornisce inoltre istruzioni per la gestione delle istanze che utilizzano CMEK. Per saperne di più sulle chiavi CMEK per Memorystore for Valkey, consulta Informazioni sulle chiavi di crittografia gestite dal cliente (CMEK).

Prima di iniziare

1. Assicurati di disporre del ruolo Amministratore Memorystore nel tuo account utente.

   Vai alla pagina IAM

Flusso di lavoro per creare un'istanza che utilizza CMEK

1. Crea un portachiavi e una chiave nella posizione in cui vuoi che si trovi l'istanza Memorystore for Valkey.

2. Copia o annota il nome della chiave (KEY_NAME), la posizione della chiave e il nome del portachiavi (KEY_RING). Ti serviranno queste informazioni quando concederai al account di servizio l'accesso alla chiave.

3. Concedi al account di servizio Memorystore for Valkey l'accesso alla chiave.

4. Vai a un progetto e crea un'istanza Memorystore for Valkey con CMEK abilitata nella stessa regione della chiave automatizzata e della chiave.

La tua istanza Memorystore for Valkey è ora abilitata con CMEK.

Creare una chiave automatizzata e una chiave

Crea una chiave automatizzata e una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Memorystore for Valkey. La chiave può provenire da un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrica.

Dopo aver creato il portachiavi e la chiave, copia o annota KEY_NAME, la posizione della chiave e KEY_RING. Hai bisogno di queste informazioni quando concedi l'accesso alla chiave alaccount di serviziot.

Concedi al account di servizio Memorystore for Valkey l'accesso alla chiave

Prima di poter creare un'istanza Memorystore for Valkey che utilizza CMEK, devi concedere a un account di servizio Memorystore for Valkey specifico l'accesso alla chiave.

Per concedere l'accesso al account di servizio, utilizza il seguente formato:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Crea un'istanza Memorystore for Valkey che utilizza CMEK

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

Visualizzare le informazioni sulla chiave per un'istanza abilitata per CMEK

Segui queste istruzioni per verificare se CMEK è abilitata per la tua istanza e per visualizzare la chiave attiva.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

Gestire le versioni della chiave

Per informazioni su cosa succede quando disattivi, elimini, ruoti, attivi e ripristini una versione della chiave, consulta Comportamento di una versione della chiave CMEK.

Per istruzioni su come disabilitare e riattivare le versioni delle chiavi, consulta Abilitare e disabilitare le versioni delle chiavi.

Per istruzioni su come eliminare e ripristinare le versioni delle chiavi, vedi Eliminare e ripristinare le versioni delle chiavi.

Passaggi successivi

• Scopri di più sui backup.
• Scopri di più sulla persistenza.