Cloud Build ermöglicht die Einhaltung von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK). Dabei wird der nichtflüchtige Speicher während der Erstellung mit einem sitzungsspezifischen Schlüssel verschlüsselt, der für jeden Build generiert wird. Es ist keine Konfiguration erforderlich. Für jeden Build wird ein eindeutiger Schlüssel generiert.
Nach dem Start eines Builds ist der Schlüssel bis zu 24 Stunden lang nur für Build-Prozesse zugänglich, für die er erforderlich ist. Anschließend wird der Schlüssel aus dem Arbeitsspeicher gelöscht und gelöscht.
Der Schlüssel wird nirgendwo aufbewahrt, ist für Google-Entwickler oder -Supportmitarbeiter nicht zugänglich und kann nicht wiederhergestellt werden. Die mit einem solchen Schlüssel geschützten Daten sind nach Abschluss des Builds dauerhaft nicht zugänglich.
Wie funktioniert die flüchtige Schlüsselverschlüsselung?
Cloud Build unterstützt CMEK durch Verwendung von flüchtigen Schlüsseln. Der Service ist dadurch vollständig mit einer CMEK-fähigen Einrichtung konsistent und kompatibel.
Cloud Build führt die folgenden Schritte aus, damit nichtflüchtige Speicher zum Erstellen mit einem sitzungsspezifischen Schlüssel verschlüsselt werden:
Cloud Build erstellt einen zufälligen 256-Bit-Verschlüsselungsschlüssel, um jeden nichtflüchtigen Speicher während der Erstellung zu verschlüsseln.
Cloud Build nutzt das Feature für vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Key, CSEK) des nichtflüchtigen Speichers, um diesen neuen Verschlüsselungsschlüssel als Verschlüsselungsschlüssel für den nichtflüchtigen Speicher zu verwenden.
Cloud Build löscht den sitzungsspezifischen Schlüssel, sobald das Laufwerk erstellt wurde. Der Schlüssel wird nie in nichtflüchtigem Speicher protokolliert oder in ihn geschrieben und ist jetzt nicht mehr abrufbar.
Wenn der Build abgeschlossen ist, wird der nichtflüchtige Speicher gelöscht. Dann sind keine Spuren des Schlüssels oder der verschlüsselten Daten des nichtflüchtigen Speichers mehr in der Google-Infrastruktur mehr vorhanden.
Wann erfolgt keine flüchtige Schlüsselverschlüsselung?
Wenn Sie einen Build mit Quellspiegelung erstellen oder auslösen (und keine GitHub-Trigger verwenden), wird Ihr Quellcode in Cloud Storage oder Cloud Source Repositories gespeichert. Sie können den Speicherort für den Code frei wählen und seine Verschlüsselung uneingeschränkt steuern.