使用 CMEK 加密的 Cloud SQL 跨区域副本

【问题标题】:Cloud SQL cross-region Replica with CMEK encryption使用 CMEK 加密的 Cloud SQL 跨区域副本
【发布时间】:2021-09-22 10:23:11
【问题描述】:

Cloud SQL 加密文档 (https://cloud.google.com/sql/docs/sqlserver/cmek#when_does_interact_with_cmek_keys) 状态:

启用 CMEK 的实例中的只读副本继承 CMEK 加密,使用与主实例相同的 Cloud KMS 密钥。

同时:

注意:Cloud KMS 密钥环位置必须与您要创建 Cloud SQL 实例的区域匹配。多区域或全球区域密钥将不起作用。如果区域不匹配,则创建 Cloud SQL 实例的请求会失败。

从这两条信息可以得出结论,跨区域副本是不可能的 与 CMEK 加密一起使用。

但是,我们通过以下方式对此进行了验证:

  • 在 europe-west3 中创建 KMS 密钥环 + 密钥,并使用该密钥在 europe-west3 中创建 Cloud SQL 主实例
  • 使用来自 europe-west2 的密钥在 europe-west2 中创建 KMS 密钥环 + 密钥并在 europe-west2 中创建 Cloud SQL 副本(上述主节点的副本)

我们可以依赖我们在实践中验证的内容吗?文档是否不准确?

【问题讨论】:

    标签: google-cloud-sql


    【解决方案1】:

    可以在different doc page 上找到答案:

    当您在同一区域创建 Cloud SQL 实例的只读副本时,它会继承与父实例相同的客户管理的加密密钥。如果您在不同的区域创建只读副本,则会为您提供一个可供选择的客户管理的加密密钥的新列表。每个区域都使用自己的一组键。

    【讨论】:

      猜你喜欢
      • 2020-06-30
      • 1970-01-01
      • 1970-01-01
      • 2020-12-19
      • 2017-07-20
      • 1970-01-01
      • 1970-01-01
      • 2014-03-10
      • 2022-11-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode