Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Azure Cache for Redis mengumumkan garis waktu penghentiannya untuk semua SKU. Sebaiknya pindahkan instans Azure Cache for Redis yang ada ke Azure Managed Redis sesegera mungkin.
Untuk informasi lebih lanjut tentang pengakhiran layanan:
Data di server Redis disimpan dalam memori secara default. Data ini tidak dienkripsi. Anda dapat menerapkan enkripsi Anda sendiri pada data sebelum menulisnya ke cache. Dalam beberapa kasus, data dapat berada di disk, baik karena operasi sistem operasi, atau karena tindakan yang disukai untuk mempertahankan data menggunakan ekspor atau persistensi data.
Azure Cache for Redis menawarkan kunci yang dikelola platform (PMK), juga dikenal sebagai kunci yang dikelola Microsoft (MMK), secara default untuk mengenkripsi data di disk di semua tingkatan. Tingkat Enterprise dan Enterprise Flash Azure Cache for Redis juga menawarkan kemampuan untuk mengenkripsi OS dan disk persistensi data dengan kunci yang dikelola pelanggan (CMK). Kunci yang dikelola pelanggan dapat digunakan untuk membungkus MMK untuk mengontrol akses ke kunci ini. Ini menjadikan CMK sebagai kunci enkripsi kunci atau KEK. Untuk informasi selengkapnya, lihat manajemen kunci di Azure.
Cakupan ketersediaan untuk enkripsi disk CMK
Tingkat dasar, Standar, Premium:
- Kunci terkelola Microsoft (MMK) digunakan untuk enkripsi disk di sebagian besar ukuran cache, kecuali ukuran Dasar dan Standar C0 dan C1.
- Kunci yang dikelola pelanggan (CMK) tidak didukung.
Lapisan Enterprise, Enterprise Flash:
- Kunci yang dikelola oleh Microsoft (MMK) didukung.
- Kunci yang dikelola pelanggan (CMK) didukung.
Peringatan
Secara default, semua tingkatan Azure Cache for Redis menggunakan kunci terkelola Microsoft untuk mengenkripsi disk yang dipasang ke instans cache. Namun, di tingkat Dasar dan Standar, SKU C0 dan C1 tidak mendukung enkripsi disk apa pun.
Penting
Pada tingkat Premium, persistensi data mengalirkan data langsung ke Azure Storage, sehingga enkripsi disk kurang penting. Azure Storage menawarkan berbagai metode enkripsi yang akan digunakan sebagai gantinya.
Enkripsi untuk tingkat Perusahaan
Di tingkat Perusahaan, enkripsi disk digunakan untuk mengenkripsi disk persistensi, file sementara, dan disk OS:
- disk persistensi: menyimpan file RDB atau AOF yang bertahan sebagai bagian dari persistensi data
- file sementara yang digunakan dalam ekspor: data sementara yang digunakan diekspor dienkripsi. Saat Anda mengekspor data, enkripsi data akhir yang diekspor dikontrol oleh pengaturan di akun penyimpanan.
- disk OS
MMK digunakan untuk mengenkripsi disk ini secara default, tetapi CMK juga dapat digunakan.
Di tingkat Enterprise Flash, kunci dan nilai juga disimpan sebagian di disk menggunakan penyimpanan flash ekspres memori nonvolatile (NVMe). Namun, disk ini tidak sama dengan yang digunakan untuk data yang bertahan. Sebaliknya, ini bersifat ephemeral, dan data tidak disimpan setelah cache dihentikan, dibatalkan alokasinya, atau di-boot ulang. MMK hanya didukung pada disk ini karena data ini bersifat sementara dan sementara.
| Data disimpan | Diska | Opsi Enkripsi |
|---|---|---|
| File persistensi | Disk persistensi | MMK atau CMK |
| File RDB menunggu untuk diekspor | Disk OS dan disk Persistensi | MMK atau CMK |
| Kunci & nilai (hanya tingkat Enterprise Flash) | Disk NVMe sementara | MMK |
Enkripsi untuk tingkat Dasar, Standar, dan Premium
Di tingkat Dasar, Standar, dan Premium, disk OS dienkripsi secara default menggunakan MMK. Tidak ada disk persistensi yang dipasang dan Azure Storage digunakan sebagai gantinya. SKU C0 dan C1 tidak menggunakan enkripsi disk.
Prasyarat dan batasan
Prasyarat dan batasan umum
- Enkripsi disk tidak tersedia di tingkat Dasar dan Standar untuk SKU C0 atau C1
- Hanya identitas terkelola yang ditetapkan pengguna yang didukung untuk menyambungkan ke Azure Key Vault. Identitas terkelola yang ditetapkan oleh sistem tidak didukung.
- Mengubah antara MMK dan CMK pada instans cache yang ada memicu operasi pemeliharaan yang berjalan lama. Kami tidak merekomendasikan ini untuk penggunaan produksi karena terjadi gangguan layanan.
Prasyarat dan batasan Azure Key Vault
- Sumber daya Azure Key Vault yang berisi kunci yang dikelola pelanggan harus berada di wilayah yang sama dengan sumber daya cache.
- Perlindungan penghapusan menyeluruh dan penghapusan sementara harus diaktifkan di instans Azure Key Vault. Perlindungan penghapusan menyeluruh tidak diaktifkan secara default.
- Saat Anda menggunakan aturan firewall di Azure Key Vault, instans Key Vault harus dikonfigurasi untuk mengizinkan layanan tepercaya.
- Hanya kunci RSA yang didukung
- Identitas terkelola yang ditetapkan pengguna harus diberi izin Get, Unwrap Key, dan Wrap Key dalam kebijakan akses Key Vault, atau izin yang setara dalam Kontrol Akses Berbasis Peran Azure. Definisi peran bawaan yang direkomendasikan dengan hak istimewa paling sedikit yang diperlukan untuk skenario ini disebut Pengguna Enkripsi Layanan Kripto KeyVault.
Cara mengonfigurasi enkripsi CMK pada cache Enterprise
Menggunakan portal untuk membuat cache baru dengan CMK diaktifkan
Buat cache Redis Enterprise.
Pada halaman Tingkat Lanjut , buka bagian berjudul Enkripsi kunci yang dikelola pelanggan saat tidak aktif dan aktifkan opsi Gunakan kunci yang dikelola pelanggan.
Pilih Tambahkan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke sumber daya. Identitas terkelola ini digunakan untuk menyambungkan ke instans Azure Key Vault yang menyimpan kunci yang dikelola pelanggan.
Pilih identitas terkelola yang ditetapkan pengguna pilihan Anda, lalu pilih metode input kunci yang akan digunakan.
Jika menggunakan metode Pilih Azure Key Vault dan input kunci , pilih instans Key Vault yang menyimpan kunci yang dikelola pelanggan Anda. Instans ini harus berada di wilayah yang sama dengan cache Anda.
Catatan
Untuk petunjuk tentang cara menyiapkan instans Azure Key Vault, lihat panduan mulai cepat Azure Key Vault. Anda juga dapat memilih tautan Buat brankas kunci di bawah pilihan Key Vault untuk membuat instans Key Vault baru. Ingatlah bahwa perlindungan penghapusan menyeluruh dan penghapusan sementara harus diaktifkan di instans Key Vault Anda.
Pilih kunci dan versi tertentu menggunakan drop-down Kunci yang dikelola pelanggan (RSA) dan Versi .
Jika menggunakan metode input URI , masukkan URI Pengidentifikasi Kunci untuk kunci yang Anda pilih dari Azure Key Vault.
Saat Anda memasukkan semua informasi untuk cache Anda, pilih Tinjau + buat.
Menambahkan enkripsi CMK ke cache Enterprise yang sudah ada
Buka Enkripsi di menu Sumber Daya instans cache Anda. Jika CMK sudah disiapkan, Anda akan melihat informasi utama.
Jika Anda belum menyiapkan CMK atau ingin mengubah pengaturan CMK, pilih Ubah pengaturan enkripsi.
Pilih Gunakan kunci yang dikelola pelanggan untuk melihat opsi konfigurasi Anda.
Pilih Tambahkan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke sumber daya. Identitas terkelola ini digunakan untuk menyambungkan ke instans Azure Key Vault yang menyimpan kunci yang dikelola pelanggan.
Pilih identitas terkelola yang ditetapkan pengguna pilihan Anda, lalu pilih metode input kunci mana yang akan digunakan.
Jika menggunakan metode Pilih Azure Key Vault dan input kunci , pilih instans Key Vault yang menyimpan kunci yang dikelola pelanggan Anda. Instans ini harus berada di wilayah yang sama dengan cache Anda.
Catatan
Untuk petunjuk tentang cara menyiapkan instans Azure Key Vault, lihat panduan mulai cepat Azure Key Vault. Anda juga dapat memilih tautan Buat brankas kunci di bawah pilihan Key Vault untuk membuat instans Key Vault baru.
Pilih kunci tertentu menggunakan drop-down Kunci yang dikelola pelanggan (RSA ). Jika ada beberapa versi kunci yang dapat dipilih, gunakan menu drop-down Versi .
Jika menggunakan metode input URI , masukkan URI Pengidentifikasi Kunci untuk kunci yang Anda pilih dari Azure Key Vault.
Pilih Simpan
Langkah berikutnya
Pelajari selengkapnya tentang fitur Azure Cache for Redis: