Esta página contém instruções para criar uma instância do Memorystore for Valkey que usa chaves de encriptação geridas pelo cliente (CMEK). Também fornece instruções para gerir instâncias que usam CMEK. Para mais informações sobre as CMEK para o Memorystore for Valkey, consulte o artigo Acerca das chaves de encriptação geridas pelo cliente (CMEK).
Antes de começar
Certifique-se de que tem a função de administrador do Memorystore na sua conta de utilizador.
Fluxo de trabalho para criar uma instância que usa CMEK
Crie um conjunto de chaves e uma chave na localização onde quer que a instância do Memorystore for Valkey esteja.
Copie ou anote o nome da chave (
KEY_NAME), a localização da chave e o nome do conjunto de chaves (KEY_RING). Precisa destas informações quando conceder à conta de serviço acesso à chave.Conceda à conta de serviço do Memorystore for Valkey acesso à chave.
Aceda a um projeto e crie uma instância do Memorystore for Valkey com a CMEK ativada na mesma região que o conjunto de chaves e a chave.
A sua instância do Memorystore for Valkey está agora ativada com a CMEK.
Crie um conjunto de chaves e uma chave
Crie um conjunto de chaves e uma chave. Ambos têm de estar na mesma região que a instância do Memorystore for Valkey. A chave pode ser de um projeto diferente, desde que esteja na mesma região. Além disso, a chave tem de usar o algoritmo de encriptação simétrica.
Depois de criar o conjunto de chaves e a chave, copie ou anote o KEY_NAME, a localização da chave e o KEY_RING. Precisa destas informações quando concede à conta de serviço acesso à chave.
Conceda à conta de serviço do Memorystore for Valkey acesso à chave
Antes de poder criar uma instância do Memorystore for Valkey que use CMEK, tem de conceder a uma conta de serviço específica do Memorystore for Valkey acesso à chave.
Para conceder acesso à conta de serviço, use o seguinte formato:
service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com
gcloud
Para conceder à conta de serviço acesso à chave, use o comando gcloud kms keys add-iam-policy-binding. Substitua VARIABLES por valores adequados.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crie uma instância do Memorystore for Valkey que use CMEK
gcloud
Para criar uma instância que use CMEK, use o comando gcloud memorystore instances
create. Substitua
VARIABLES pelos valores adequados.
gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE
Veja informações importantes para uma instância com CMEK ativada
Siga estas instruções para ver se as CMEK estão ativadas para a sua instância e para ver a chave ativa.
gcloud
Para verificar se a CMEK está ativada e ver a referência da chave, use o comando gcloud memorystore instances describe para ver os campos encryptionInfo e kmsKey. Substitua VARIABLES por valores adequados.
gcloud memorystore instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --location=REGION_ID
Faça a gestão das versões das chaves
Para informações sobre o que acontece quando desativa, destrói, roda, ativa e restaura uma versão de chave, consulte o artigo Comportamento de uma versão de chave CMEK.
Para ver instruções sobre como desativar e reativar versões de chaves, consulte o artigo Ative e desative versões de chaves.
Para obter instruções sobre como destruir e restaurar versões de chaves, consulte o artigo Destrua e restaure versões de chaves.
O que se segue?
- Saiba mais sobre as cópias de segurança.
- Saiba mais acerca da persistência.