Cloud Deploy, ainsi que ses services dépendants, vous permet de gérer vos propres clés de chiffrement pour le stockage et le transit des données utilisateur.
Données Cloud Deploy
Cloud Deploy stocke les données des ressources chiffrées. Ce stockage n'inclut aucune donnée utilisateur.
Les services qui dépendent de Cloud Deploy peuvent utiliser des clés de chiffrement gérées par le client. Les sections suivantes traitent des pratiques de chaque service dépendant.
Cloud Build
Les opérations de rendu et de déploiement sont effectuées via Cloud Build, qui est conforme aux CMEK. Pour en savoir plus sur la configuration de Cloud Build pour assurer la conformité avec les clés CMEK, consultez la documentation Cloud Build.
La source et les fichiers manifestes affichés sont stockés dans des buckets Cloud Storage. Cloud Build stocke ses journaux à l'aide de Cloud Logging, et Cloud Deploy désactive explicitement la journalisation Cloud Storage à utiliser avec Cloud Deploy.
Cloud Storage
Pour utiliser CMEK avec Cloud Deploy, vous devez utiliser des buckets Cloud Storage personnalisés et les configurer pour CMEK.
Pour spécifier les buckets Cloud Storage personnalisés et gérés par CMEK à utiliser avec Cloud Deploy, procédez comme suit:
Incluez l'option
--gcs-source-staging-dirdans la commandegcloud deploy releases create.Cette option identifie le bucket Cloud Storage dans lequel stocker les fichiers sources du rendu.
Modifiez l'emplacement de stockage dans votre environnement d'exécution Cloud Deploy.
Ce paramètre identifie le bucket Cloud Storage dans lequel stocker les fichiers manifestes affichés.
Sujets Pub/Sub
Cloud Deploy utilise Pub/Sub pour publier des notifications sur des sujets. Vous pouvez configurer ces sujets pour qu'ils utilisent des clés de chiffrement gérées par le client.
Journalisation
Cloud Deploy et ses services dépendants publient des journaux dans Cloud Logging, qui fait partie du programme d'observabilité de Google Cloud.
Vous pouvez configurer Logging pour les CMEK.