Cloud Deploy, junto con sus servicios dependientes, te permite gestionar tus propias claves de cifrado para el almacenamiento y el tránsito de los datos de los usuarios.
Datos de Cloud Deploy
Cloud Deploy almacena los datos de los recursos cifrados. Este almacenamiento no incluye ningún dato de usuario.
Los servicios dependientes de Cloud Deploy pueden usar claves de encriptado gestionadas por el cliente. En las siguientes secciones se abordan las prácticas de cada servicio dependiente.
Cloud Build
Las operaciones de renderización y despliegue se realizan a través de Cloud Build, que cumple los requisitos de CMEK. Para obtener más información sobre cómo configurar Cloud Build para que cumpla los requisitos de CMEK, consulta la documentación de Cloud Build.
El origen de renderizado y los manifiestos renderizados se almacenan en segmentos de Cloud Storage. Cloud Build almacena sus registros mediante Cloud Logging, y Cloud Deploy desactiva explícitamente el registro de Cloud Storage para usarlo con Cloud Deploy.
Cloud Storage
Para usar CMEK con Cloud Deploy, debes usar segmentos de Cloud Storage personalizados y configurar esos segmentos para CMEK.
Para especificar tus segmentos de Cloud Storage personalizados y gestionados por CMEK para usarlos con Cloud Deploy, sigue estos pasos:
Incluye la marca
--gcs-source-staging-diren el comandogcloud deploy releases create.Esta marca identifica el segmento de Cloud Storage en el que se almacenarán los archivos de origen de renderización.
Cambia la ubicación de almacenamiento en tu entorno de ejecución de Cloud Deploy.
Este ajuste identifica el segmento de Cloud Storage en el que se almacenarán los manifiestos renderizados.
Temas Pub/Sub
Cloud Deploy usa Pub/Sub para publicar notificaciones en temas. Puedes configurar estos temas para que usen claves de encriptado gestionadas por el cliente.
Almacenamiento de registros
Cloud Deploy y sus servicios dependientes publican registros en Cloud Logging, que forma parte de Google Cloud Observability.
Puede configurar Logging para las CMEK.