Cloud Build assure la conformité avec les clés de chiffrement gérées par le client (CMEK) en chiffrant le disque persistant associé à la compilation à l'aide d'une clé éphémère qui est générée à chaque compilation. Aucune configuration n'est requise. La clé est générée de manière unique pour chaque compilation.
Une fois qu'une compilation commence, la clé n'est accessible qu'aux processus de compilation qui en ont besoin pendant un maximum de 24 heures. Ensuite, la clé est effacée de la mémoire et détruite.
La clé n'est conservée nulle part, n'est pas accessible aux ingénieurs Google ni à l'assistance, et ne peut pas être restaurée. Les données protégées à l'aide de cette clé sont définitivement inaccessibles une fois la compilation terminée.
Comment fonctionne le chiffrement par clé éphémère ?
Grâce à l'utilisation de clés éphémères, Cloud Build est parfaitement cohérent et compatible avec une configuration CMEK.
Cloud Build effectue les opérations suivantes pour s'assurer que les disques persistants associés à la compilation sont chiffrés à l'aide d'une clé éphémère:
Cloud Build émet une clé de chiffrement aléatoire de 256 bits pour chiffrer chaque disque persistant associé à la compilation.
Cloud Build exploite la fonctionnalité Clé de chiffrement fournie par le client (CSEK) du disque persistant et utilise cette nouvelle clé de chiffrement comme clé de chiffrement du disque persistant.
Cloud Build détruit la clé éphémère dès que le disque est créé. La clé n'est jamais enregistrée ni écrite dans un espace de stockage permanent. Elle est ainsi irrécupérable.
Une fois la compilation terminée, le disque persistant est supprimé. À ce stade, aucune trace de la clé ni des données chiffrées du disque persistant ne sont conservées dans l'infrastructure Google.
Dans quels cas le chiffrement par clé éphémère ne s'applique-t-il pas ?
Lorsque vous créez ou déclenchez une compilation à l'aide de la mise en miroir source (et non via des déclencheurs GitHub), votre code source est stocké dans Cloud Storage ou Cloud Source Repositories. Vous disposez d'un contrôle total sur l'emplacement de stockage du code, y compris le contrôle de son chiffrement.