Cloud Deploy, beserta layanan dependennya, memungkinkan Anda mengelola kunci enkripsi Anda sendiri untuk penyimpanan dan pengiriman data pengguna apa pun.
Data Cloud Deploy
Cloud Deploy menyimpan data resource yang dienkripsi. Penyimpanan ini tidak mencakup data pengguna apa pun.
Layanan dependen Cloud Deploy dapat menggunakan kunci enkripsi yang dikelola pelanggan. Bagian berikut membahas praktik setiap layanan dependen.
Cloud Build
Operasi render dan deploy dilakukan melalui Cloud Build, yang mematuhi CMEK. Untuk informasi selengkapnya tentang cara mengonfigurasi Cloud Build agar mematuhi CMEK, lihat dokumentasi Cloud Build.
Sumber rendering dan manifes yang dirender disimpan di bucket Cloud Storage. Cloud Build menyimpan lognya menggunakan Cloud Logging, dan Cloud Deploy secara eksplisit menonaktifkan logging Cloud Storage untuk digunakan dengan Cloud Deploy.
Cloud Storage
Untuk menggunakan CMEK dengan Cloud Deploy, Anda harus menggunakan bucket Cloud Storage kustom dan mengonfigurasi bucket tersebut untuk CMEK.
Untuk menentukan bucket Cloud Storage kustom yang dikelola CMEK untuk digunakan dengan Cloud Deploy:
Sertakan flag
--gcs-source-staging-dir
pada perintahgcloud deploy releases create
.Flag ini mengidentifikasi bucket Cloud Storage tempat file sumber rendering disimpan.
Ubah lokasi penyimpanan di lingkungan eksekusi Cloud Deploy Anda.
Setelan ini mengidentifikasi bucket Cloud Storage tempat menyimpan manifes yang dirender.
Topik Pub/Sub
Cloud Deploy menggunakan Pub/Sub untuk memublikasikan notifikasi ke topik. Anda dapat mengonfigurasi topik ini untuk menggunakan kunci enkripsi yang dikelola pelanggan.
Logging
Cloud Deploy dan layanan dependennya memublikasikan log ke Cloud Logging, bagian dari Google Cloud Observability.
Anda dapat mengonfigurasi Logging untuk CMEK.