Google Cloud Deploy, junto con sus servicios dependientes, te permite administrar tus propias claves de encriptación para el almacenamiento y el tránsito de los datos del usuario.
Datos de Google Cloud Deploy
Google Cloud Deploy almacena los datos de recursos encriptados. Este almacenamiento no incluye ningún dato del usuario.
Los servicios dependientes de Google Cloud Deploy pueden usar claves de encriptación administradas por el cliente. En las siguientes secciones, se abordan las prácticas de cada servicio dependiente.
Cloud Build
Las operaciones de procesamiento y de implementación se realizan a través de Cloud Build, que cumple con CMEK. Si deseas obtener más información sobre cómo configurar Cloud Build para que cumpla con CMEK, consulta la documentación de Cloud Build.
La fuente de procesamiento y los manifiestos procesados se almacenan en depósitos de Cloud Storage. Cloud Build almacena sus registros mediante Cloud Logging, y Google Cloud Deploy desactiva de forma explícita el registro de Cloud Storage para su uso con Google Cloud Deploy.
Cloud Storage
Si deseas usar CMEK con Google Cloud Deploy, debes usar depósitos de Cloud Storage personalizados y configurar esos depósitos para CMEK.
A fin de especificar los depósitos personalizados y administrados por CMEK de Cloud Storage para usar con Google Cloud Deploy, haz lo siguiente:
Incluye la marca
--gcs-source-staging-dir
en el comandogcloud deploy releases create
.Esta marca identifica el bucket de Cloud Storage en el que se almacenan los archivos de origen de procesamiento.
Cambia la ubicación de almacenamiento en el entorno de ejecución de Google Cloud Deploy.
Esta configuración identifica el bucket de Cloud Storage en el que se almacenan los manifiestos renderizados.
Temas de Pub/Sub
Google Cloud Deploy usa Pub/Sub para publicar notificaciones en temas. Puedes configurar estos temas para usar claves de encriptación administradas por el cliente.
Registros
Google Cloud Deploy y sus servicios dependientes publican registros en Cloud Logging, que forman parte de Google Cloud's operations suite.
Puedes configurar Logging para CMEK.