Utiliser les clés de chiffrement gérées par le client

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Google Cloud Deploy, ainsi que ses services dépendants, vous permet de gérer vos propres clés de chiffrement pour le stockage et le transit de toutes les données utilisateur.

Données Google Cloud Deploy

Google Cloud Deploy stocke les données de ressources chiffrées. Cela n'inclut pas les données utilisateur.

Les services dépendants de Google Cloud Deploy peuvent utiliser des clés de chiffrement gérées par le client. Les sections suivantes décrivent les pratiques de chaque service dépendant.

Cloud Build

Les opérations de rendu et de déploiement sont effectuées via Cloud Build, qui est conforme aux CMEK. Pour en savoir plus sur la configuration de Cloud Build afin qu'il soit compatible avec les CMEK, consultez la documentation Cloud Build.

La source et les fichiers manifestes de rendu sont stockés dans des buckets gcs. Cloud Build stocke les journaux à l'aide de Cloud Logging, et Google Cloud Deploy désactive explicitement la journalisation Cloud Storage pour une utilisation avec Google Cloud Deploy.

Cloud Storage

Pour utiliser CMEK avec Google Cloud Deploy, vous devez utiliser des buckets Cloud Storage personnalisés et les configurer pour CMEK.

Pour spécifier vos buckets Cloud Storage personnalisés et gérés par CMEK à utiliser avec Google Cloud Deploy:

  • Incluez l'option --gcs-source-staging-dir dans la commande gcloud deploy releases create.

    Ce champ identifie le bucket Cloud Storage dans lequel stocker les fichiers sources de rendu.

  • Modifiez l'emplacement de stockage dans votre environnement d'exécution Google Cloud Deploy.

    Ce champ identifie le bucket Cloud Storage dans lequel stocker les fichiers manifestes.

Sujets Pub/Sub

Google Cloud Deploy utilise Pub/Sub pour publier des notifications sur des sujets. Vous pouvez configurer ces sujets pour utiliser des clés de chiffrement gérées par le client.

Logging

Google Cloud Deploy et ses services dépendants publient des journaux dans Cloud Logging, qui fait partie de la suite Google Cloud Operations.

Vous pouvez configurer Logging pour les clés CMEK.