Nesta página, você encontra instruções para criar uma instância do cluster do Memorystore para Redis que usa chaves de criptografia gerenciadas pelo cliente (CMEK). Ela também fornece instruções para gerenciar instâncias que usam CMEK. Para mais informações sobre CMEK para o cluster do Memorystore para Redis, consulte Sobre chaves de criptografia gerenciadas pelo cliente (CMEK).
Antes de começar
Verifique se você tem a função de administrador do Redis na sua conta de usuário.
Fluxo de trabalho para criar uma instância que usa CMEK
Crie um keyring e uma chave no local em que você quer que a instância do Memorystore para Redis Cluster esteja.
Copie ou anote o ID da chave (
KMS_KEY_ID), o local da chave e o ID do keyring (KMS_KEY_RING_ID). Você precisa dessas informações para conceder à conta de serviço o acesso à chave.Conceda à conta de serviço do cluster do Memorystore para Redis acesso à chave.
Acesse um projeto e crie uma instância do cluster do Memorystore para Redis com a CMEK ativada na mesma região do keyring e da chave.
Sua instância do Memorystore for Redis Cluster agora está ativada com CMEK.
Crie um keyring e uma chave.
Crie um keyring e uma chave. Ambos precisam estar na mesma região que a instância do cluster do Memorystore para Redis. A chave pode ser de um projeto diferente, desde que esteja na mesma região. Além disso, a chave precisa usar o algoritmo de criptografia simétrica.
Conceda à conta de serviço do Memorystore for Redis Cluster acesso à chave
Antes de criar uma instância do Memorystore para Redis Cluster que use CMEK, é necessário conceder a uma conta de serviço específica do Memorystore para Redis Cluster acesso à chave.
Para conceder acesso à conta de serviço, use o seguinte formato:
service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com
gcloud
Para conceder acesso à chave à conta de serviço, use o comando gcloud kms keys add-iam-policy-binding. Substitua VARIABLES pelos valores adequados.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@cloud-redis.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Criar uma instância do Memorystore para Redis Cluster que usa CMEK
gcloud
Para criar uma instância que usa o CMEK, use o comando gcloud beta redis clusters
create. Substitua VARIABLES pelos valores adequados.
gcloud beta redis clusters create INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID \ --network=NETWORK \ --kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KMS_KEY_RING_ID/cryptoKeys/KMS_KEY_ID \ --shard-count=SHARD_NUMBER \ --persistence-mode=PERSISTENCE_MODE
Visualizar informações da chave em uma instância ativada para CMEK
Siga estas instruções para verificar se a CMEK está ativada na sua instância e para conferir a chave ativa.
gcloud
Para verificar se a CMEK está ativada e conferir a referência da chave, use o comando gcloud redis clusters describe para ver os campos encryptionInfo e kmsKey. Substitua VARIABLES pelos valores apropriados.
gcloud redis clusters describe INSTANCE_ID \ --project=PROJECT_NAME \ --region=REGION_ID
Gerenciar versões da chave
Para saber o que acontece quando você desativa, destrói, alterna, ativa e restaura uma versão de chave, consulte Comportamento de uma versão de chave da CMEK.
Para instruções sobre como desativar e reativar versões de chave, consulte Ativar e desativar versões de chave.
Para instruções sobre como destruir e restaurar versões de chave, consulte Destruir e restaurar versões de chave.
A seguir
- Saiba mais sobre backups.
- Saiba mais sobre persistência.