云SQL加密文档(https://cloud.google.com/sql/docs/sqlserver/cmek#when_does_interact_with_cmek_keys)状态:
从启用CMEK的实例读取副本将继承CMEK加密,并使用与主实例相同的Cloud KMS密钥。
同时:
注意:Cloud KMS密钥环位置必须与要创建Cloud SQL实例的区域匹配。多区域键或全局区域键将不起作用。如果区域不匹配,则创建云SQL实例的请求将失败。
从这两条信息可以得出结论,跨区域复制是不可能的以便与CMEK加密一起使用。
然而,我们已经通过以下方式进行了试验:
- 在europe-west3中创建KMS密钥环+密钥,并使用该密钥在europe-vest3中生成Cloud SQL主实例
- 使用来自europe-west2的密钥在europe-west 2中创建KMS密钥环+密钥,并在europe-west2中创建云SQL副本(用于上述主密钥的副本(
我们能依靠我们在实践中所做的实验吗?这些文件不及时吗?
答案可以在不同的文档页面上找到:
在同一区域中创建云SQL实例的读取副本时,它将继承与父实例相同的客户管理的加密密钥。如果在不同的区域中创建读取复制副本,则会向您提供一个新的客户管理的加密密钥列表,供您选择。每个区域都使用自己的一组关键点。