Conformidade com CMEK no Cloud Build

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

O Cloud Build oferece compatibilidade com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) criptografando o disco permanente (DP) com tempo de compilação com uma chave temporária gerada para cada build. Nenhuma configuração é necessária. A chave é gerada exclusivamente para cada build.

Assim que o build é concluído, a chave é excluída permanentemente da memória e destruída. Ele não é armazenado em nenhum lugar, não é acessível para engenheiros do Google ou funcionários de suporte e não pode ser restaurado. Os dados que foram protegidos usando essa chave estão permanentemente inacessíveis.

Como funciona a criptografia de chave temporária?

O Cloud Build é compatível com CMEKs usando chaves temporárias, permitindo que seja totalmente consistente e compatível com uma configuração ativada para CMEK.

O Cloud Build faz o seguinte para garantir que os DPs de tempo de compilação sejam criptografados com uma chave temporária:

  1. O Cloud Build gera uma chave de criptografia aleatória de 256 bits na RAM local para criptografar cada disco permanente de tempo integrado.

  2. O Cloud Build usa o recurso de chave de criptografia fornecida pelo cliente (CSEK) do DP para usar essa nova chave de criptografia como uma de DP.

  3. Imediatamente após iniciar o build, o Cloud Build limpa a chave efêmera gerada para o build a partir da RAM local. A chave nunca é registrada ou gravada em armazenamento permanente e agora é irrecuperável.

  4. Quando a versão é concluída, o disco permanente é excluído. Nesse momento, nenhum trace da chave nem os dados de DP criptografados permanecem em qualquer lugar da infraestrutura do Google.

Quando a criptografia de chave temporária não é aplicada?

A criptografia de chave temporária não se aplica nos seguintes cenários:

  • Quando você cria ou aciona uma versão usando o espelhamento de origem (e não via gatilhos do GitHub), seu código-fonte é armazenado no Cloud Storage ou no Cloud Source Repositories. Você tem controle total sobre o local de armazenamento do código, incluindo o controle sobre a criptografia dele.

  • Quando você reside em uma região geográfica afetada por restrições locais de criptografia, como Brasil ou ndia, o Cloud Build não pode aplicar a criptografia de chave temporária aos DPs.