使用客户管理的加密密钥 (CMEK)

控制台

使用控制台时，您需要在创建使用 CMEK 的 Redis 实例的步骤中向服务账号授予对密钥的访问权限。

gcloud

如需向服务账号授予对密钥的访问权限，请运行以下命令，并将 VARIABLES 替换为适当的值：

gcloud kms keys add-iam-policy-binding [KMS_KEY_ID] \
--location=[REGION_ID] \
--keyring=[KMS_KEYRING_ID] \
--member=serviceAccount:service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

控制台

1. 首先，在要创建 Memorystore 实例的同一区域中创建密钥环和密钥。

2. 按照在 VPC 网络上创建 Redis 实例中的说明操作，直到到达启用客户管理的加密密钥的步骤，然后返回到这些说明。

3. 选择使用客户管理的加密密钥 (CMEK)。

4. 使用下拉菜单选择您的密钥。

5. 如果 Memorystore 服务账号未获得所需的权限，系统会显示一个文本框，其中显示以下内容：

   The service-[PROJECT-NUMBER]@cloud-redis.iam.gserviceaccount.com service account does not have the "cloudkms.cryptoKeyEncrypterDecrypter" role. Verify the service account has permission to encrypt/decrypt with the selected key.

   • 点击授予按钮，向 Memorystore 服务账号授予角色权限。

6. 为实例完成所需配置的选择，然后点击 Create 按钮以创建启用了 CMEK 的 Memorystore for Redis 实例。

gcloud

如需创建使用 CMEK 的实例，请输入以下命令，并将 VARIABLES 替换为适当的值：

gcloud redis instances create [INSTANCE_ID] \
--size=[SIZE] \
--region=[REGION_ID] \
--customer-managed-key=projects/[PROJECT_NAME]/locations/[REGION_ID]/keyRings/[KEYRING_NAME]/cryptoKeys/[KEY_NAME]

控制台

1. 在 Google Cloud 控制台中，前往 Memorystore for Redis 实例页面。

   Memorystore for Redis

2. 点击实例 ID 可查看实例的实例详情页面。

3. 点击安全标签。

4. 使用客户管理的密钥加密部分包含指向有效密钥的链接，并显示密钥参考路径。如果此部分未显示，则表示您的实例未启用 CMEK。

gcloud

如需验证是否已启用 CMEK 并查看密钥引用，请运行以下命令以查看 customerManagedKey 字段：

gcloud redis instances describe INSTANCE_ID \
--project=PROJECT \
--region=REGION