Questa pagina fornisce istruzioni per creare un'istanza Memorystore for Redis Cluster che utilizza le chiavi di crittografia gestite dal cliente (CMEK). Fornisce inoltre istruzioni per la gestione delle istanze che utilizzano CMEK. Per saperne di più sulle chiavi CMEK per Memorystore for Redis Cluster, consulta Informazioni sulle chiavi di crittografia gestite dal cliente (CMEK).
Prima di iniziare
Assicurati di disporre del ruolo di amministratore Redis nel tuo account utente.
Flusso di lavoro per creare un'istanza che utilizza CMEK
Crea un portachiavi e una chiave nella posizione in cui vuoi che si trovi l'istanza Memorystore for Redis Cluster.
Copia o annota l'ID chiave (
KMS_KEY_ID), la posizione della chiave e l'ID del portachiavi (KMS_KEY_RING_ID). Ti serviranno queste informazioni quando concedi l'accesso alla chiave aaccount di serviziont.Concedi all'account di servizio Memorystore for Redis Cluster l'accesso alla chiave.
Vai a un progetto e crea un'istanza di Memorystore for Redis Cluster con CMEK abilitata nella stessa regione della chiave automatizzata e della chiave.
La tua istanza Memorystore for Redis Cluster è ora abilitata con CMEK.
Crea una chiave automatizzata e una chiave
Crea una chiave automatizzata e una chiave. Entrambi devono trovarsi nella stessa regione dell'istanza Memorystore for Redis Cluster. La chiave può provenire da un progetto diverso, purché si trovi nella stessa regione. Inoltre, la chiave deve utilizzare l'algoritmo di crittografia simmetrica.
Concedi all'account di servizio Memorystore for Redis Cluster l'accesso alla chiave
Prima di poter creare un'istanza Memorystore for Redis Cluster che utilizza CMEK, devi concedere a un account di servizio Memorystore for Redis Cluster specifico l'accesso alla chiave.
Per concedere l'accesso al account di servizio, utilizza il seguente formato:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
gcloud
Per concedere al account di servizio l'accesso alla chiave, utilizza il comando gcloud kms keys add-iam-policy-binding. Sostituisci VARIABLES con i valori appropriati.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crea un'istanza Memorystore for Redis Cluster che utilizza CMEK
gcloud
Per creare un'istanza che utilizza CMEK, utilizza il comando gcloud beta redis clusters
create. Sostituisci
VARIABLES con i valori appropriati.
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Visualizzare le informazioni sulla chiave per un'istanza abilitata per CMEK
Segui queste istruzioni per verificare se CMEK è abilitata per la tua istanza e per visualizzare la chiave attiva.
gcloud
Per verificare se CMEK è abilitata e visualizzare il riferimento alla chiave, utilizza il comando gcloud redis clusters describe per visualizzare i campi encryptionInfo e kmsKey. Sostituisci VARIABLES con
i valori appropriati.
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Gestire le versioni della chiave
Per informazioni su cosa succede quando disattivi, elimini, ruoti, attivi e ripristini una versione della chiave, consulta Comportamento di una versione della chiave CMEK.
Per istruzioni su come disabilitare e riattivare le versioni delle chiavi, consulta Abilitare e disabilitare le versioni delle chiavi.
Per istruzioni su come eliminare e ripristinare le versioni delle chiavi, vedi Eliminare e ripristinare le versioni delle chiavi.
Passaggi successivi
- Scopri di più sui backup.
- Scopri di più sulla persistenza.