Nesta página, você encontra instruções para criar uma instância do Memorystore para Valkey que usa chaves de criptografia gerenciadas pelo cliente (CMEK). Ele também fornece instruções para gerenciar instâncias que usam CMEK. Para mais informações sobre CMEK para Memorystore para Valkey, consulte Sobre chaves de criptografia gerenciadas pelo cliente (CMEK).
Antes de começar
Verifique se você tem a função de administrador do Memorystore na sua conta de usuário.
Fluxo de trabalho para criar uma instância que usa CMEK
Crie um keyring e uma chave no local em que você quer que a instância do Memorystore para Valkey esteja.
Copie ou anote o nome da chave (
KEY_NAME), o local dela e o nome do keyring (KEY_RING). Você precisa dessas informações para conceder à conta de serviço o acesso à chave.Conceda à conta de serviço do Memorystore para Valkey acesso à chave.
Acesse um projeto e crie uma instância do Memorystore para Valkey com a CMEK ativada na mesma região do keyring e da chave.
Sua instância do Memorystore para Valkey agora está ativada com a CMEK.
Crie um keyring e uma chave.
Crie um keyring e uma chave. Ambos precisam estar na mesma região que a instância do Memorystore para Valkey. A chave pode ser de um projeto diferente, desde que esteja na mesma região. Além disso, a chave precisa usar o algoritmo de criptografia simétrica.
Depois de criar o keyring e a chave, copie ou anote o KEY_NAME, o local da chave e o KEY_RING. Você precisa dessas informações para conceder à
conta de serviço o acesso à chave.
Conceda à conta de serviço do Memorystore para Valkey acesso à chave
Antes de criar uma instância do Memorystore para Valkey que use a CMEK, é necessário conceder a uma conta de serviço específica do Memorystore para Valkey acesso à chave.
Para conceder acesso à conta de serviço, use o seguinte formato:
service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com
gcloud
Para conceder acesso à chave para a conta de serviço, use o comando gcloud kms keys add-iam-policy-binding. Substitua VARIABLES pelos valores adequados.
gcloud kms keys add-iam-policy-binding \ projects/PROJECT_ID/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Criar uma instância do Memorystore para Valkey que usa CMEK
gcloud
Para criar uma instância que usa o CMEK, use o comando gcloud memorystore instances
create. Substitua VARIABLES pelos valores adequados.
gcloud memorystore instances create INSTANCE_ID \
--project=PROJECT_NAME \
--location=REGION_ID \
--endpoints='[{"connections": [{"pscAutoConnection": {"network": "projects/PROJECT_NAME/global/networks/NETWORK_ID", "projectId": "PROJECT_NAME"}}]}]' \
--kms-key=projects/PROJECT_NAME/locations/REGION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--shard-count=SHARD_NUMBER \
--persistence-config-mode=PERSISTENCE_CONFIG_MODE
Visualizar informações da chave em uma instância ativada para CMEK
Siga estas instruções para verificar se a CMEK está ativada na sua instância e para conferir a chave ativa.
gcloud
Para verificar se a CMEK está ativada e conferir a referência da chave, use o comando gcloud memorystore instances describe para ver os campos encryptionInfo e kmsKey. Substitua VARIABLES pelos valores apropriados.
gcloud memorystore instances describe INSTANCE_ID \ --project=PROJECT_NAME \ --location=REGION_ID
Gerenciar versões da chave
Para saber o que acontece quando você desativa, destrói, alterna, ativa e restaura uma versão de chave, consulte Comportamento de uma versão de chave da CMEK.
Para instruções sobre como desativar e reativar versões de chave, consulte Ativar e desativar versões de chave.
Para instruções sobre como destruir e restaurar versões de chave, consulte Destruir e restaurar versões de chave.
A seguir
- Saiba mais sobre backups.
- Saiba mais sobre persistência.