Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Cumplimiento de CMEK en Cloud Build

Cloud Build proporciona cumplimiento de las claves de encriptación administradas por el cliente (CMEK) mediante la encriptación del disco persistente (PD) en tiempo de compilación con una clave efímera que se genera para cada compilación. No se requiere configuración. La clave se genera una vez para cada compilación.

En cuanto se completa la compilación, la clave se limpia de la memoria y se destruye. No se almacena en ningún lugar, los ingenieros de Google o el personal de asistencia no pueden acceder a ella, y no se pueden restablecer. No se puede acceder de forma permanente a los datos protegidos con esa clave.

¿Cómo funciona la encriptación de clave efímera?

Cloud Build es compatible con CMEK mediante el uso de claves efímeras, lo que le permite ser totalmente coherente y compatible con una configuración habilitada con CMEK.

Cloud Build hace lo siguiente para garantizar que los PD se encripten con una clave efímera en el tiempo de compilación:

  1. Cloud Build crea una clave de encriptación aleatoria de 256 bits en la memoria RAM local para encriptar cada disco persistente en el tiempo de compilación.

  2. Cloud Build aprovecha la característica de Clave de encriptación suministrada por el cliente (CSEK) del PD para usar esta nueva clave de encriptación como clave de encriptación del PD.

  3. Inmediatamente después de comenzar la compilación, Cloud Build limpia la clave que generó efímeramente para la compilación de la RAM local. La clave nunca se registra ni se escribe en ningún almacenamiento continuo y ahora es irrecuperable.

  4. Cuando se completa la compilación, el disco persistente se borra y no quedan rastros de la clave ni datos encriptados del PD en ninguna parte de la infraestructura de Google.

¿Cuándo no se aplica la encriptación de clave efímera?

La encriptación de clave efímera no se aplica en los siguientes casos:

  • Cuando creas o activas una compilación mediante la duplicación de la fuente (y no a través de los activadores de app de GitHub), tu código fuente se almacena en Cloud Storage o en Cloud Source Repositories. Tienes el control total sobre la ubicación de almacenamiento del código, incluido el control de su encriptación.

  • Cuando especificas tu propio depósito para los registros de compilación de Cloud Build y proporcionas un depósito de registros encriptados, debes inhabilitar Stackdriver Logging y, luego, inhabilitar la opción de transmisión de registros de Cloud Build, como se describe en BuildOptions.

  • Cuando activas una compilación desde la aplicación de Cloud Build GitHub, Cloud Build extrae tu código fuente de GitHub, crea un bucket de almacenamiento con un TTL de objetos de un día y deja el código en ese bucket. No tienes acceso ni control sobre este bucket.

  • Cuando resides en una región geográfica afectada por restricciones locales de encriptación, como Brasil o India, Cloud Build no puede aplicar la encriptación de clave efímera a los PD.