Cloud Deploy, junto con sus servicios dependientes, te permite administrar tus propias claves de encriptación para el almacenamiento y el tránsito de cualquier dato del usuario.
Datos de Cloud Deploy
Cloud Deploy almacena datos de recursos encriptados. Este almacenamiento no incluye datos del usuario.
Los servicios dependientes de Cloud Deploy pueden usar claves de encriptación administradas por el cliente. En las siguientes secciones, se abordan las prácticas de cada servicio dependiente.
Cloud Build
Las operaciones de renderización y de implementación se realizan a través de Cloud Build, que cumple con CMEK. Si deseas obtener más información para configurar Cloud Build a fin de que cumpla con las CMEK, consulta la documentación de Cloud Build.
La fuente de renderización y los manifiestos renderizados se almacenan en buckets de Cloud Storage. Cloud Build almacena sus registros mediante Cloud Logging y Cloud Deploy desactiva de manera explícita el registro de Cloud Storage para usarlo con Cloud Deploy.
Cloud Storage
Para usar CMEK con Cloud Deploy, debes usar buckets personalizados de Cloud Storage y configurar esos buckets para CMEK.
Si quieres especificar tus buckets de Cloud Storage administrados con CMEK y personalizados para usarlos con Cloud Deploy, sigue estos pasos:
Incluye la marca
--gcs-source-staging-dir
en el comandogcloud deploy releases create
.Esta marca identifica el bucket de Cloud Storage en el que se almacenarán los archivos de origen de renderización.
Cambia la ubicación de almacenamiento en tu entorno de ejecución de Cloud Deploy.
Esta configuración identifica el bucket de Cloud Storage en el que se almacenarán los manifiestos renderizados.
Temas de Pub/Sub
Cloud Deploy usa Pub/Sub para publicar notificaciones en los temas. Puedes configurar estos temas para usar claves de encriptación administradas por el cliente.
Logging
Cloud Deploy y sus servicios dependientes publican registros en Cloud Logging, que forma parte de la observabilidad de Google Cloud.
Puedes configurar Logging para CMEK