Cette page explique comment créer une instance Memorystore pour Redis Cluster qui utilise des clés de chiffrement gérées par le client (CMEK). Elle fournit également des instructions pour gérer les instances qui utilisent CMEK. Pour en savoir plus sur les CMEK pour Memorystore pour Redis Cluster, consultez À propos des clés de chiffrement gérées par le client (CMEK).
Avant de commencer
Assurez-vous que le rôle d'administrateur Redis est attribué à votre compte utilisateur.
Procédure permettant de créer une instance utilisant les CMEK
Créez un trousseau de clés et une clé à l'emplacement où vous souhaitez que l'instance Memorystore pour Redis Cluster se trouve.
Copiez ou notez l'ID de la clé (
KMS_KEY_ID), l'emplacement de la clé et l'ID du trousseau de clés (KMS_KEY_RING_ID). Vous aurez besoin de ces informations lorsque vous accorderez à la clé l'accès au compte de service.Accordez au compte de service Memorystore for Redis Cluster l'accès à la clé.
Accédez à un projet et créez une instance Memorystore pour Redis Cluster avec CMEK activé dans la même région que le trousseau de clés et la clé.
Votre instance Memorystore for Redis Cluster est désormais activée avec CMEK.
Créer un trousseau de clés et une clé
Créez un trousseau de clés et une clé. Les deux doivent se trouver dans la même région que votre instance Memorystore pour Redis Cluster. La clé peut provenir d'un autre projet, à condition qu'elle se trouve dans la même région. De plus, la clé doit utiliser l'algorithme de chiffrement symétrique.
Accorder au compte de service Memorystore for Redis Cluster l'accès à la clé
Avant de pouvoir créer une instance Memorystore pour Redis Cluster qui utilise CMEK, vous devez accorder à un compte de service Memorystore pour Redis Cluster spécifique l'accès à la clé.
Pour accorder l'accès au compte de service, utilisez le format suivant :
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
gcloud
Pour accorder au compte de service l'accès à la clé, utilisez la commande gcloud kms keys add-iam-policy-binding. Remplacez VARIABLES par les valeurs appropriées.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Créer une instance Memorystore pour Redis Cluster qui utilise CMEK
gcloud
Pour créer une instance qui utilise CMEK, utilisez la commande gcloud beta redis clusters
create. Remplacez VARIABLES par les valeurs appropriées.
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Afficher les informations sur les clés d'une instance configurée pour utiliser les CMEK
Suivez ces instructions pour vérifier si CMEK est activé pour votre instance et pour afficher la clé active.
gcloud
Pour vérifier si CMEK est activé et afficher la référence de la clé, utilisez la commande gcloud redis clusters describe pour afficher les champs encryptionInfo et kmsKey. Remplacez VARIABLES par les valeurs appropriées.
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Gérer les versions de clé
Pour en savoir plus sur ce qui se passe lorsque vous désactivez, détruisez, faites pivoter, activez ou restaurez une version de clé, consultez Comportement d'une version de clé CMEK.
Pour savoir comment désactiver et réactiver des versions de clé, consultez Activer et désactiver des versions de clé.
Pour savoir comment détruire et restaurer des versions de clé, consultez Détruire et restaurer des versions de clé.
Étapes suivantes
- En savoir plus sur les sauvegardes
- En savoir plus sur la persistance