Mit Cloud Deploy und den zugehörigen Diensten können Sie Ihre eigenen Verschlüsselungsschlüssel für die Speicherung und Übertragung von Nutzerdaten verwalten.
Cloud Deploy-Daten
Cloud Deploy speichert Ressourcendaten verschlüsselt. Dieser Speicherplatz enthält keine Nutzerdaten.
Von Cloud Deploy abhängige Dienste können vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. In den folgenden Abschnitten werden die Praktiken der einzelnen abhängigen Dienste beschrieben.
Cloud Build
Rendering- und Bereitstellungsvorgänge werden über Cloud Build ausgeführt, das CMEK-konform ist. Weitere Informationen zum Konfigurieren von Cloud Build für die CMEK-Compliance finden Sie in der Cloud Build-Dokumentation.
Renderingquellen und gerenderte Manifeste werden in Cloud Storage-Buckets gespeichert. Cloud Build speichert seine Protokolle mit Cloud Logging. Cloud Deploy deaktiviert das Cloud Storage-Logging ausdrücklich für die Verwendung mit Cloud Deploy.
Cloud Storage
Wenn Sie CMEK mit Cloud Deploy verwenden möchten, müssen Sie benutzerdefinierte Cloud Storage-Buckets verwenden und diese für CMEK konfigurieren.
So geben Sie benutzerdefinierte, mit CMEK verwaltete Cloud Storage-Buckets für die Verwendung mit Cloud Deploy an:
Fügen Sie dem Befehl
gcloud deploy releases create
das Flag--gcs-source-staging-dir
hinzu.Mit diesem Flag wird der Cloud Storage-Bucket angegeben, in dem die Rendering-Quelldateien gespeichert werden sollen.
Ändern Sie den Speicherort in Ihrer Cloud Deploy-Ausführungsumgebung.
Mit dieser Einstellung wird der Cloud Storage-Bucket angegeben, in dem die gerenderten Manifeste gespeichert werden sollen.
Pub/Sub-Themen
Cloud Deploy verwendet Pub/Sub, um Benachrichtigungen an Themen zu veröffentlichen. Sie können diese Themen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln konfigurieren.
Logging
Cloud Deploy und die zugehörigen Dienste veröffentlichen Protokolle in Cloud Logging, einem Teil von Google Cloud Observability.
Sie können das Logging für CMEK konfigurieren.