O Cloud Build oferece compatibilidade com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) criptografando o disco permanente (DP) com tempo de compilação com uma chave temporária gerada para cada build. Nenhuma configuração é necessária. A chave é gerada exclusivamente para cada build.
Assim que o build é concluído, a chave é excluída permanentemente da memória e destruída. Ele não é armazenado em nenhum lugar, não é acessível para engenheiros do Google ou funcionários de suporte e não pode ser restaurado. Os dados que foram protegidos usando essa chave estão permanentemente inacessíveis.
Como funciona a criptografia de chave temporária?
O Cloud Build é compatível com CMEKs usando chaves temporárias, permitindo que seja totalmente consistente e compatível com uma configuração ativada para CMEK.
O Cloud Build faz o seguinte para garantir que os DPs de tempo de compilação sejam criptografados com uma chave temporária:
O Cloud Build gera uma chave de criptografia aleatória de 256 bits na RAM local para criptografar cada disco permanente de tempo integrado.
O Cloud Build usa o recurso de chave de criptografia fornecida pelo cliente (CSEK) do DP para usar essa nova chave de criptografia como uma de DP.
Imediatamente após iniciar o build, o Cloud Build limpa a chave efêmera gerada para o build a partir da RAM local. A chave nunca é registrada ou gravada em armazenamento permanente e agora é irrecuperável.
Quando a versão é concluída, o disco permanente é excluído. Nesse momento, nenhum trace da chave nem os dados de DP criptografados permanecem em qualquer lugar da infraestrutura do Google.
Quando a criptografia de chave temporária não é aplicada?
A criptografia de chave temporária não se aplica nos seguintes cenários:
Quando você cria ou aciona uma versão usando o espelhamento de origem (e não via gatilhos do GitHub), seu código-fonte é armazenado no Cloud Storage ou no Cloud Source Repositories. Você tem controle total sobre o local de armazenamento do código, incluindo o controle sobre a criptografia dele.
Quando você reside em uma região geográfica afetada por restrições locais de criptografia, como Brasil ou ndia, o Cloud Build não pode aplicar a criptografia de chave temporária aos DPs.