Usar claves de encriptado gestionadas por el cliente (CMEK)

En esta página se proporcionan instrucciones para crear una instancia de Memorystore para Valkey que use claves de cifrado gestionadas por el cliente (CMEK). También se proporcionan instrucciones para gestionar instancias que usan CMEK. Para obtener más información sobre las CMEKs de Memorystore para Valkey, consulta el artículo Acerca de las claves de cifrado gestionadas por el cliente (CMEKs).

Antes de empezar

1. Asegúrate de tener el rol de administrador de Memorystore en tu cuenta de usuario.

   Ir a la página de gestión de identidades y accesos

Flujo de trabajo para crear una instancia que use CMEK

1. Crea un conjunto de claves y una clave en la ubicación en la que quieras que esté la instancia de Memorystore para Valkey.

2. Copia o anota el nombre de la clave (KEY_NAME), la ubicación de la clave y el nombre del conjunto de claves (KEY_RING). Necesitarás esta información para conceder acceso a la clave a la cuenta de servicio.

3. Concede acceso a la clave a la cuenta de servicio de Memorystore for Valkey.

4. Ve a un proyecto y crea una instancia de Memorystore para Valkey con CMEK habilitada en la misma región que el conjunto de claves y la clave.

Tu instancia de Memorystore for Valkey ahora tiene habilitada la función de claves de cifrado gestionadas por el cliente (CMEK).

Crear un conjunto de claves y una clave

Crea un conjunto de claves y una clave. Ambos deben estar en la misma región que tu instancia de Memorystore for Valkey. La clave puede ser de otro proyecto, siempre que esté en la misma región. Además, la clave debe usar el algoritmo de cifrado simétrico.

Después de crear el conjunto de claves y la clave, copia o anota el KEY_NAME, la ubicación de la clave y el KEY_RING. Necesitarás esta información cuando concedas acceso a la clave a la cuenta de servicio.

Concede acceso a la clave a la cuenta de servicio de Memorystore for Valkey

Para crear una instancia de Memorystore for Valkey que use CMEK, debes conceder acceso a la clave a una cuenta de servicio específica de Memorystore for Valkey.

Para conceder acceso a la cuenta de servicio, usa el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

gcloud kms keys add-iam-policy-binding  \
projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Crear una instancia de Memorystore for Valkey que use CMEK

gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE

Ver información de la clave de una instancia habilitada para CMEK

Sigue estas instrucciones para comprobar si CMEK está habilitada en tu instancia y para ver la clave activa.

gcloud memorystore instances describe INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID

Gestionar versiones de clave

Para obtener información sobre lo que ocurre cuando se inhabilita, destruye, rota, habilita y restaura una versión de clave, consulta Comportamiento de una versión de clave de cifrado gestionada por el cliente.

Para obtener instrucciones sobre cómo inhabilitar y volver a habilitar versiones de clave, consulta Habilitar e inhabilitar versiones de clave.

Para obtener instrucciones sobre cómo destruir y restaurar versiones de clave, consulta Destruir y restaurar versiones de clave.

Siguientes pasos

• Más información sobre las copias de seguridad
• Consulta más información sobre la persistencia.