Cloud Build memberikan kepatuhan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) dengan mengenkripsi persistent disk waktu build dengan kunci efemeral yang dibuat untuk setiap build. Tidak perlu konfigurasi. Kunci dibuat secara unik untuk setiap build.
Setelah build dimulai, kunci hanya dapat diakses oleh proses build yang memerlukannya hingga 24 jam. Kemudian, kunci tersebut akan dihapus dari memori dan dihancurkan.
Kunci tidak disimpan di mana pun, tidak dapat diakses oleh engineer atau staf dukungan Google, dan tidak dapat dipulihkan. Data yang dilindungi menggunakan kunci tersebut tidak dapat diakses secara permanen setelah build selesai.
Bagaimana cara kerja enkripsi kunci efemeral?
Cloud Build mendukung CMEK melalui penggunaan kunci sementara, sehingga membuatnya konsisten sepenuhnya dan kompatibel dengan penyiapan yang mendukung CMEK.
Cloud Build melakukan hal berikut untuk memastikan persistent disk waktu build dienkripsi dengan kunci efemeral:
Cloud Build membuat kunci enkripsi 256-bit acak untuk mengenkripsi setiap persistent disk waktu build.
Cloud Build memanfaatkan fitur Kunci Enkripsi yang Disediakan Pelanggan (CSEK) persisten disk untuk menggunakan kunci enkripsi baru ini sebagai kunci enkripsi persistent disk.
Cloud Build menghapus kunci ephemeral segera setelah disk dibuat. Kunci ini tidak pernah dicatat ke dalam log atau ditulis ke penyimpanan persisten dan sekarang tidak dapat diambil kembali.
Setelah build selesai, persistent disk akan dihapus. Setelah itu, tidak ada trace kunci atau data persistent disk terenkripsi yang tetap berada di infrastruktur Google.
Kapan enkripsi kunci efemeral tidak diterapkan?
Saat Anda membuat atau memicu build menggunakan pencerminan sumber (dan tidak menggunakan pemicu GitHub), kode sumber Anda akan disimpan di Cloud Storage atau Cloud Source Repositories. Anda memiliki kontrol penuh atas lokasi penyimpanan kode, termasuk kontrol atas enkripsinya.