Sobre as chaves de criptografia gerenciadas pelo cliente (CMEK)

Nesta página, descrevemos como as chaves de criptografia gerenciadas pelo cliente (CMEK) funcionam com o Memorystore para Valkey. Para começar a usar esse recurso, consulte Usar chaves de criptografia gerenciadas pelo cliente (CMEK).

Por padrão, o Memorystore para Valkey criptografa o conteúdo do cliente em repouso. O Memorystore para Valkey executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Memorystore para Valkey. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível monitorar o uso de chaves, visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos da Memorystore para Valkey é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Quem deve usar a CMEK?

A CMEK é destinada a organizações com dados sensíveis ou regulamentados que precisam ser criptografados. Para mais informações sobre se é necessário usar a CMEK para criptografar esses dados, consulte Decidir se é necessário usar a CMEK.

Criptografia gerenciada pelo Google e criptografia gerenciada pelo cliente

Com o recurso de CMEK, você pode usar suas próprias chaves criptográficas para dados em repouso no Memorystore para Valkey. Para instâncias do Memorystore para Valkey habilitadas para CMEK, o Google usa suas chaves para acessar todos os dados em repouso.

O Memorystore usa chaves de criptografia de dados (DEK) e chaves de criptografia de chaves (KEK) gerenciadas pelo Google para criptografar dados no Memorystore para Valkey. Há dois níveis de criptografia:

  • Criptografia de DEK:o Memorystore usa DEKs para criptografar dados no Memorystore para Valkey.
  • Criptografia de KEK:o Memorystore usa KEKs para criptografar DEKs.

A instância do Memorystore para Valkey armazena a DEK criptografada com os dados criptografados no disco, e o Google gerencia a KEK. A CMEK é a KEK que encapsula a DEK. Com a CMEK, você pode criar, desativar ou destruir, fazer rotação e ativar ou restaurar a KEK.

Os diagramas a seguir mostram como a criptografia de dados em repouso funciona em uma instância do Memorystore para Valkey ao usar a criptografia padrão gerenciada pelo Google em comparação com a CMEK.

Sem CMEK

Os dados são enviados ao Google e divididos em blocos. Cada bloco é criptografado com a própria chave de criptografia de dados. As chaves de criptografia de dados são encapsuladas por uma chave de criptografia de chaves. Com a criptografia padrão do Google, a chave de criptografia de chaves é recuperada do keystore interno do Google. Os blocos criptografados e as chaves de criptografia unidas são distribuídos pela infraestrutura de armazenamento do Google.

Com a CMEK

Os dados são enviados ao Google e divididos em blocos. Cada bloco é criptografado com a própria chave de criptografia de dados. As chaves de criptografia de dados são encapsuladas por uma chave de criptografia de chaves. Com a CMEK e o Cloud KMS, a chave de criptografia de chaves é recuperada do Cloud KMS. Os blocos criptografados e as chaves de criptografia unidas são distribuídos pela infraestrutura de armazenamento do Google.

Ao descriptografar dados encapsulados com CMEK, o Memorystore usa a KEK do Cloud Key Management Service para descriptografar a DEK e a DEK não criptografada para descriptografar dados em repouso.

Bloco de dados criptografado com a DEK e armazenado com a DEK unida. Uma solicitação para desencapsular a DEK é enviada ao Cloud KMS, que armazena a KEK. O Cloud KMS retorna a DEK desencapsulada.

Preços

O Memorystore para Valkey fatura uma instância ativada para CMEK como qualquer outra instância. Não há custos adicionais. Para mais informações, consulte Preços do Memorystore for Valkey.

Você usa a API Cloud KMS para gerenciar a CMEK. Quando você cria uma instância do Memorystore para Valkey com CMEK, o Memorystore usa a chave periodicamente para criptografar dados.

Você recebe cobranças do Cloud KMS pelo custo da chave e pelas operações de criptografia e descriptografia quando o Memorystore para Valkey usa a chave. Para mais informações, consulte os preços do Cloud KMS.

Quais dados são criptografados com a CMEK?

A CMEK criptografa os seguintes tipos de dados do cliente armazenados em armazenamento permanente:

  • Backups: permitem recuperar seus dados para um ponto no tempo, além de exportar e analisar dados. Os backups também são úteis para recuperação de desastres, migração e compartilhamento de dados, além de cenários de compliance.
  • Persistência: a Memorystore para Valkey oferece suporte a dois tipos de persistência:
    • Persistência de RDB:esse recurso protege seus dados salvando snapshots deles em um armazenamento durável.
    • Persistência de AOF:esse recurso prioriza a durabilidade dos dados. Ele armazena dados de forma durável gravando todos os comandos de gravação em um arquivo de registro chamado Append-Only File (AOF). Se ocorrer uma falha ou reinicialização do sistema, o servidor vai reproduzir os comandos do arquivo AOF sequencialmente para restaurar seus dados.

Sobre contas de serviço

Ao criar uma instância com CMEK, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço do Memorystore para Valkey que tem o seguinte formato:

service-PROJECT_NUMBER@gcp-sa-memorystore.iam.gserviceaccount.com

Ao conceder essa permissão, a conta de serviço pode solicitar acesso à chave do Cloud KMS.

Para instruções sobre como conceder essa permissão à conta de serviço, consulte Conceder à conta de serviço do Memorystore para Valkey acesso à chave.

Sobre as chaves

No Cloud KMS, é preciso criar um keyring com uma chave criptográfica que use um algoritmo de criptografia simétrica. Ao criar uma instância do Memorystore para Valkey, selecione essa chave para criptografar a instância. É possível criar um projeto para as chaves e instâncias ou projetos diferentes para cada uma delas.

O CMEK está disponível em todos os locais de instância do Memorystore para Valkey. Crie o keyring e a chave na mesma região em que você quer criar a instância. Para uma instância multirregional, defina o keyring e a chave no mesmo local da instância. Se as regiões ou locais não corresponderem, uma solicitação para criar a instância vai falhar.

Para o ID do recurso da chave, a CMEK usa o seguinte formato:

projects/CMEK_ENABLED_PROJECT/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Chaves externas

Use o Cloud External Key Manager (Cloud EKM) para criptografar dados no Google Cloud usando chaves externas que você gerencia.

Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre a disponibilidade da sua chave gerenciada externamente. Se a chave não estiver disponível quando você criar a instância, ela não será criada.

Para mais considerações ao usar chaves externas, consulte Gerenciador de chaves externo do Cloud.

Como tornar os dados criptografados com CMEK permanentemente inacessíveis?

Pode haver casos em que você precise destruir permanentemente os dados criptografados com a CMEK. Para isso, destrua a versão da chave. Para mais informações sobre como destruir versões da chave, consulte Destruir e restaurar versões de chave.

Comportamento de uma versão de chave CMEK

Esta seção fornece informações sobre o que acontece quando você desativa, destrói, faz a rotação, ativa e restaura uma versão de chave.

Desativar ou destruir uma versão de chave CMEK

Se você desativar ou destruir a versão da chave primária da CMEK, as seguintes condições serão aplicadas a backups e persistência.

Backups

  • Não é possível criar backups sob demanda ou automáticos. No entanto, se você ativar uma versão mais antiga da chave, poderá acessar todos os backups criados com essa versão.
  • Não é possível atualizar ou reativar os backups automatizados até que você ative ou restaure a versão da chave primária.

Persistência

  • Se você configurar a instância para usar a persistência, o Memorystore para Valkey vai desativar esse recurso quando a versão da chave ficar indisponível. Você não vai mais receber cobranças por esse recurso.
  • O Memorystore para Valkey não libera novos dados para armazenamento persistente usando a CMEK.
  • O Memorystore para Valkey não consegue ler dados atuais presentes no armazenamento permanente.
  • Não é possível atualizar ou reativar a persistência até que você ative ou restaure a versão da chave primária.

Se você ativar a versão da chave primária da CMEK, mas desativar ou destruir uma versão mais antiga, as seguintes condições serão aplicadas a backups e persistência:

  • Você pode criar backups. No entanto, se um backup for criptografado com uma versão mais antiga da chave que estiver desativada ou destruída, ele vai permanecer inacessível.
  • Se você ativar a persistência, esse recurso vai continuar ativado. Se a versão da chave mais antiga usada na persistência for desativada ou destruída, a Memorystore para Valkey vai realizar uma atualização semelhante à usada na manutenção e vai criptografar novamente os dados com a versão da chave primária.

Alternar a versão principal da chave CMEK

Se você alternar a versão chave primária da chave CMEK e criar uma nova versão chave primária, as seguintes condições serão aplicadas aos backups e à persistência:

  • A versão mais recente da chave primária da CMEK criptografa novos backups.
  • Para backups atuais, nenhuma nova criptografia é feita.
  • Para persistência, os nós não fazem nada. Os nós continuam usando a versão mais antiga da chave até o próximo evento de manutenção.

Ativar ou restaurar a versão principal da chave CMEK

Se você ativar ou restaurar a versão chave primária da chave CMEK, as seguintes condições serão aplicadas a backups e persistência:

  • Você pode criar backups automáticos e sob demanda novamente.
  • O Memorystore para Valkey realiza uma atualização semelhante à usada na manutenção e reativa a persistência.

Limitações

As seguintes limitações se aplicam ao usar a CMEK com o Memorystore para Valkey:

  • Não é possível ativar a CMEK em uma instância atual do Memorystore para Valkey.
  • A região da chave, do keyring e da instância precisa ser a mesma.
  • Você precisa usar o algoritmo de criptografia simétrica para sua chave.
  • As taxas de criptografia e descriptografia do Cloud KMS estão sujeitas a uma cota.