Cloud Deploy, bersama dengan layanan yang bergantung padanya, memungkinkan Anda mengelola kunci enkripsi Anda sendiri untuk penyimpanan dan transit data pengguna apa pun.
Data Cloud Deploy
Cloud Deploy menyimpan data resource yang dienkripsi. Penyimpanan ini tidak mencakup data pengguna apa pun.
Layanan yang bergantung pada Cloud Deploy dapat menggunakan kunci enkripsi yang dikelola pelanggan. Bagian selanjutnya membahas praktik dari setiap layanan dependen.
Cloud Build
Operasi render dan deploy dilakukan melalui Cloud Build yang mematuhi CMEK. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi Cloud Build agar mematuhi CMEK, lihat dokumentasi Cloud Build.
Sumber rendering dan manifes yang dirender disimpan di bucket Cloud Storage. Cloud Build menyimpan log-nya menggunakan Cloud Logging, dan Cloud Deploy secara eksplisit menonaktifkan logging Cloud Storage untuk digunakan dengan Cloud Deploy.
Cloud Storage
Untuk menggunakan CMEK dengan Cloud Deploy, Anda harus menggunakan bucket Cloud Storage kustom dan mengonfigurasi bucket tersebut untuk CMEK.
Untuk menentukan bucket Cloud Storage kustom yang dikelola CMEK untuk digunakan dengan Cloud Deploy:
Sertakan flag
--gcs-source-staging-dirpada perintahgcloud deploy releases create.Flag ini mengidentifikasi bucket Cloud Storage tempat file sumber rendering disimpan.
Ubah lokasi penyimpanan di lingkungan eksekusi Cloud Deploy Anda.
Setelan ini mengidentifikasi bucket Cloud Storage tempat penyimpanan manifes yang dirender.
Topik Pub/Sub
Cloud Deploy menggunakan Pub/Sub untuk memublikasikan notifikasi ke topik. Anda dapat mengonfigurasi topik ini untuk menggunakan kunci enkripsi yang dikelola pelanggan.
Logging
Cloud Deploy dan layanan dependennya memublikasikan log ke Cloud Logging, yang merupakan bagian dari Kemampuan Observasi Google Cloud.
Anda dapat mengonfigurasi Logging untuk CMEK.