Mit Cloud Deploy und den abhängigen Diensten können Sie Ihre eigenen Verschlüsselungsschlüssel für die Speicherung und Übertragung von Nutzerdaten verwalten.
Cloud Deploy-Daten
Cloud Deploy speichert Ressourcendaten verschlüsselt. Dieser Speicher enthält keine Nutzerdaten.
Abhängige Dienste von Cloud Deploy können vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. In den folgenden Abschnitten werden die Praktiken der einzelnen abhängigen Dienste beschrieben.
Cloud Build
Rendering- und Bereitstellungsvorgänge werden über den CMEK-konformen Cloud Build ausgeführt. Weitere Informationen zum Konfigurieren von Cloud Build als CMEK-konform finden Sie in der Cloud Build-Dokumentation.
Rendering-Quellen und gerenderte Manifeste werden in Cloud Storage-Buckets gespeichert. Cloud Build speichert seine Logs mit Cloud Logging und Cloud Deploy deaktiviert explizit Cloud Storage-Logging für die Verwendung mit Cloud Deploy.
Cloud Storage
Wenn Sie CMEK mit Cloud Deploy verwenden möchten, müssen Sie benutzerdefinierte Cloud Storage-Buckets verwenden und diese Buckets für CMEK konfigurieren.
So geben Sie Ihre benutzerdefinierten, CMEK-verwalteten Cloud Storage-Buckets für die Verwendung mit Cloud Deploy an:
Fügen Sie im Befehl
gcloud deploy releases createdas Flag--gcs-source-staging-direin.Dieses Flag gibt den Cloud Storage-Bucket an, in dem die Rendering-Quelldateien gespeichert werden sollen.
Ändern Sie den Speicherort in der Cloud Deploy-Ausführungsumgebung.
Diese Einstellung gibt den Cloud Storage-Bucket an, in dem Ihre gerenderten Manifeste gespeichert werden sollen.
Pub/Sub-Themen
Cloud Deploy verwendet Pub/Sub zum Veröffentlichen von Benachrichtigungen in Themen. Sie können diese Themen so konfigurieren, dass vom Kunden verwaltete Verschlüsselungsschlüssel verwendet werden.
Logging
Cloud Deploy und die abhängigen Dienste veröffentlichen Logs in Cloud Logging, das Teil der Beobachtbarkeit von Google Cloud ist.
Sie können Logging für CMEK konfigurieren.