Cloud Build는 각 빌드에 대해 생성되는 임시 키로 빌드 시간 영구 디스크를 암호화하여 고객 관리 암호화 키(CMEK) 규정 준수를 제공합니다. 구성은 필요하지 않습니다. 키는 빌드별로 고유하게 생성됩니다.
빌드가 시작되면 최대 24시간 동안 필요한 빌드 프로세스에서만 키에 액세스할 수 있습니다. 그런 다음 메모리에서 키가 완전 삭제되고 폐기됩니다.
키는 어디에도 보관되지 않고, Google 엔지니어 또는 지원 담당자가 액세스할 수 없으며, 복원할 수도 없습니다. 이러한 키를 사용해서 보호되는 데이터는 빌드가 완료된 후 영구적으로 액세스할 수 없습니다.
임시 키 암호화는 어떻게 작동하나요?
Cloud Build는 임시 키를 사용하여 CMEK를 지원하므로 CMEK 지원 설정과의 완전한 일관성과 호환성이 보장됩니다.
Cloud Build는 빌드 시간 영구 디스크가 임시 키를 통해 암호화되도록 다음을 수행합니다.
Cloud Build는 각 빌드 시간 영구 디스크를 암호화하기 위해 임의의 256비트 암호화 키를 만듭니다.
Cloud Build는 영구 디스크의 고객 제공 암호화 키(CSEK) 기능을 활용하여 이 새로운 암호화 키를 영구 디스크 암호화 키로 사용합니다.
Cloud Build는 디스크가 생성되는 즉시 임시 키를 폐기합니다. 이 키는 어떤 영구 스토리지에도 로깅되거나 기록되지 않으며 복구가 불가능합니다.
빌드가 완료되면 영구 디스크가 삭제됩니다. 이제 Google 인프라의 어디에서도 키를 추적하거나 암호화된 영구 디스크 데이터를 찾을 수 없게 됩니다.
어떤 경우에 임시 키 암호화가 적용되지 않나요?
GitHub 트리거를 사용지 않고 소스 미러링을 사용하여 빌드를 만들거나 트리거하면 소스 코드가 Cloud Storage 또는 Cloud Source Repositories에 저장됩니다. 따라서 암호화를 통한 제어를 포함하여 코드 스토리지 위치를 완벽히 제어할 수 있습니다.