Cloud Deploy, junto con sus servicios dependientes, te permite administrar tus propias claves de encriptación para el almacenamiento y el tránsito de cualquier dato del usuario.
Datos de Cloud Deploy
Cloud Deploy almacena los datos de recursos encriptados. Este almacenamiento no incluye ningún dato del usuario.
Los servicios dependientes de Cloud Deploy pueden usar claves de encriptación administradas por el cliente. En las siguientes secciones, se abordan las prácticas de cada servicio dependiente.
Cloud Build
Las operaciones de renderización y de implementación se realizan a través de Cloud Build, que cumple con CMEK. Para obtener más información sobre cómo configurar Cloud Build para que cumpla con CMEK, consulta la documentación de Cloud Build.
La fuente de renderización y los manifiestos renderizados se almacenan en buckets de Cloud Storage. Cloud Build almacena sus registros con Cloud Logging, y Cloud Deploy desactiva de forma explícita el registro de Cloud Storage para usarlo con Cloud Deploy.
Cloud Storage
Para usar CMEK con Cloud Deploy, debes usar buckets personalizados de Cloud Storage y configurarlos para CMEK.
Para especificar tus buckets personalizados de Cloud Storage administrados por CMEK para usarlos con Cloud Deploy, sigue estos pasos:
Incluye la marca
--gcs-source-staging-diren el comandogcloud deploy releases create.Esta marca identifica el bucket de Cloud Storage en el que se almacenarán los archivos fuente de renderización.
Cambia la ubicación de almacenamiento en tu entorno de ejecución de Cloud Deploy.
Este parámetro de configuración identifica el bucket de Cloud Storage en el que se almacenarán tus manifiestos renderizados.
Temas de Pub/Sub
Cloud Deploy usa Pub/Sub para publicar notificaciones en temas. Puedes configurar estos temas para que usen claves de encriptación administradas por el cliente.
Logging
Cloud Deploy y sus servicios dependientes publican registros en Cloud Logging, que forma parte de Google Cloud Observability.
Puedes configurar Logging para CMEK.