本頁說明如何建立使用客戶自管加密金鑰 (CMEK) 的 Memorystore for Valkey 執行個體。此外,還提供管理使用 CMEK 的執行個體相關操作說明。如要進一步瞭解 Memorystore for Valkey 的 CMEK,請參閱「關於客戶管理的加密金鑰 (CMEK)」。
事前準備
建立使用 CMEK 的執行個體的工作流程
複製或記下金鑰名稱 (
KEY_NAME)、金鑰位置和金鑰環名稱 (KEY_RING)。授予服務帳戶金鑰存取權時,您需要這些資訊。前往專案,並在與金鑰環和金鑰相同的區域中,建立已啟用 CMEK 的 Memorystore for Valkey 執行個體。
您的 Memorystore for Valkey 執行個體現在已啟用 CMEK。
建立金鑰環和金鑰
建立金鑰環和金鑰。 兩者都必須與 Memorystore for Valkey 執行個體位於相同地區。金鑰可以來自不同專案,只要金鑰位於相同區域即可。此外,金鑰必須使用對稱加密演算法。
建立金鑰環和金鑰後,請複製或記下 KEY_NAME、金鑰位置和 KEY_RING。授權服務帳戶存取金鑰時,您需要這項資訊。
授予 Memorystore for Valkey 服務帳戶金鑰存取權
如要建立使用 CMEK 的 Memorystore for Valkey 執行個體,請務必先授予特定 Memorystore for Valkey 服務帳戶金鑰存取權。
如要授予服務帳戶存取權,請使用下列格式:
service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com
gcloud
如要授予服務帳戶金鑰存取權,請使用 gcloud kms keys add-iam-policy-binding 指令。將 VARIABLES 改為適當的值。
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
建立使用 CMEK 的 Memorystore for Valkey 執行個體
gcloud
如要建立使用 CMEK 的執行個體,請使用 gcloud memorystore instances
create 指令。將 VARIABLES 改為適當的值。
gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE
查看已啟用 CMEK 的執行個體金鑰資訊
請按照下列操作說明,查看執行個體是否已啟用 CMEK,並檢視有效金鑰。
gcloud
如要確認是否已啟用 CMEK 並查看金鑰參照,請使用 gcloud memorystore instances describe 指令查看 encryptionInfo 和 kmsKey 欄位。將 VARIABLES 取代為適當的值。
gcloud memorystore instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --location=REGION_ID
管理金鑰版本
如要瞭解停用、刪除、輪替、啟用及還原金鑰版本時會發生什麼情況,請參閱「CMEK 金鑰版本的行為」。
如需如何停用及重新啟用金鑰版本的操作說明,請參閱「啟用及停用金鑰版本」。
如要瞭解如何刪除及還原金鑰版本,請參閱「刪除與還原金鑰版本」一文。