Cloud Build fornisce la conformità alle chiavi di crittografia gestite dal cliente (CMEK) criptando il disco permanente in fase di build con una chiave temporanea generata per ogni build. Non è richiesta alcuna configurazione. La chiave viene generata in modo univoco per ogni build.
Una volta avviata la build, la chiave è accessibile solo per i processi di build che la richiedono per un massimo di 24 ore. Quindi, la chiave viene cancellata dalla memoria e distrutta.
La chiave non viene conservata da nessuna parte, non è accessibile ai tecnici Google o al personale di assistenza e non può essere ripristinata. I dati protetti con una chiave di questo tipo diventano definitivamente inaccessibili al termine della build.
Come funziona la crittografia della chiave temporanea?
Cloud Build supporta CMEK tramite l'uso di chiavi temporanee, in modo che sia completamente coerente e compatibile con una configurazione abilitata per CMEK.
Cloud Build procede nel seguente modo per garantire che i dischi permanenti in fase di build siano criptati con una chiave temporanea:
Cloud Build genera una chiave di crittografia casuale a 256 bit per criptare ogni disco permanente in fase di build.
Cloud Build sfrutta la funzionalità CSEK (Chiave di crittografia fornita dal cliente) del disco permanente per utilizzare questa nuova chiave di crittografia come chiave di crittografia del disco permanente.
Cloud Build elimina la chiave temporanea non appena il disco viene creato. La chiave non viene mai registrata o scritta in un'archiviazione permanente ed è ora irrecuperabile.
Al termine della build, il disco permanente viene eliminato. A quel punto, non rimangono tracce della chiave né dei dati del disco permanente criptato nell'infrastruttura di Google.
Quando non si applica la crittografia della chiave temporanea?
Quando crei o attivi una build utilizzando il mirroring del codice sorgente (e non i trigger GitHub), il codice sorgente viene archiviato in Cloud Storage o Cloud Source Repositories. Hai il controllo completo della posizione di archiviazione del codice, incluso il controllo sulla crittografia.