顧客管理の暗号鍵(CMEK)を使用する

このページでは、顧客管理の暗号鍵(CMEK)を使用する Memorystore for Redis Cluster インスタンスを作成する手順について説明します。また、CMEK を使用するインスタンスを管理する手順も説明します。Memorystore for Redis Cluster の CMEK の詳細については、顧客管理の暗号鍵(CMEK)についてをご覧ください。

始める前に

  1. ユーザー アカウントに Redis 管理者のロールがあることを確認します。

    [IAM] ページに移動

CMEK を使用するインスタンスを作成するワークフロー

  1. Memorystore for Redis Cluster インスタンスを配置する場所にキーリングを作成します。

  2. 鍵の鍵 ID(KMS_KEY_ID)、鍵のロケーション、キーリング ID(KMS_KEY_RING_ID)をコピーするか書き留めます。この情報は、サービス アカウントに鍵へのアクセス権を付与するときに必要になります。

  3. Memorystore for Redis Cluster サービス アカウントに鍵へのアクセス権を付与します。

  4. プロジェクトに移動し、キーリングと鍵と同じリージョンで CMEK を有効にして Memorystore for Redis Cluster インスタンスを作成します。

CMEK で Memorystore for Redis Cluster インスタンスが有効になります。

キーリングと鍵を作成する

鍵リングを作成します。両方とも、Memorystore for Redis Cluster インスタンスと同じリージョンに存在する必要があります。鍵が同じリージョンにある限り、別のプロジェクトの鍵であっても問題ありません。また、鍵には対称暗号化アルゴリズムを使用する必要があります。

Memorystore for Redis Cluster サービス アカウントに鍵へのアクセス権を付与する

CMEK を使用する Memorystore for Redis Cluster インスタンスを作成する前に、特定の Memorystore for Redis Cluster サービス アカウントに鍵へのアクセス権を付与する必要があります。

サービス アカウントにアクセス権を付与するには、次の形式を使用します。

service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com

gcloud

サービス アカウントに鍵へのアクセス権を付与するには、gcloud kms keys add-iam-policy-binding コマンドを使用します。VARIABLES は適切な値に置き換えます。

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \
--member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

CMEK を使用する Memorystore for Redis Cluster インスタンスを作成する

gcloud

CMEK を使用するインスタンスを作成するには、gcloud beta redis clusters create コマンドを使用します。VARIABLES は適切な値に置き換えます。

gcloud beta redis clusters create INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID \
--network=NETWORK \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \
--shard-count=SHARD_NUMBER \
--persistence-mode=PERSISTENCE_MODE

CMEK 対応インスタンスの鍵情報を表示する

次の手順に沿って、インスタンスで CMEK が有効になっているかどうか確認します。また、有効な鍵を表示します。

gcloud

CMEK が有効かどうかを確認し、キー参照を確認するには、gcloud redis clusters describe コマンドを使用して encryptionInfo フィールドと kmsKey フィールドを表示します。VARIABLES は適切な値に置き換えます。

gcloud redis clusters describe INSTANCE_ID \
--project=PROJECT_NAME \
--region=REGION_ID

鍵バージョンを管理する

鍵バージョンの無効化、破棄、ローテーション、有効化、復元を行うとどうなるかについては、CMEK 鍵バージョンの動作をご覧ください。

鍵バージョンの無効化と再有効化の手順については、鍵バージョンの有効化と無効化をご覧ください。

鍵バージョンの破棄と復元の手順については、鍵バージョンの破棄と復元をご覧ください。

次のステップ