Menggunakan kunci enkripsi yang dikelola pelanggan

Cloud Deploy, beserta layanan dependennya, memungkinkan Anda mengelola kunci enkripsi Anda sendiri untuk penyimpanan dan pengiriman data pengguna apa pun.

Data Cloud Deploy

Cloud Deploy menyimpan data resource yang dienkripsi. Penyimpanan ini tidak mencakup data pengguna apa pun.

Layanan dependen Cloud Deploy dapat menggunakan kunci enkripsi yang dikelola pelanggan. Bagian berikut membahas praktik setiap layanan dependen.

Cloud Build

Operasi render dan deploy dilakukan melalui Cloud Build, yang mematuhi CMEK. Untuk informasi selengkapnya tentang cara mengonfigurasi Cloud Build agar mematuhi CMEK, lihat dokumentasi Cloud Build.

Sumber rendering dan manifes yang dirender disimpan di bucket Cloud Storage. Cloud Build menyimpan lognya menggunakan Cloud Logging, dan Cloud Deploy secara eksplisit menonaktifkan logging Cloud Storage untuk digunakan dengan Cloud Deploy.

Cloud Storage

Untuk menggunakan CMEK dengan Cloud Deploy, Anda harus menggunakan bucket Cloud Storage kustom dan mengonfigurasi bucket tersebut untuk CMEK.

Untuk menentukan bucket Cloud Storage kustom yang dikelola CMEK untuk digunakan dengan Cloud Deploy:

  • Sertakan flag --gcs-source-staging-dir pada perintah gcloud deploy releases create.

    Flag ini mengidentifikasi bucket Cloud Storage tempat file sumber rendering disimpan.

  • Ubah lokasi penyimpanan di lingkungan eksekusi Cloud Deploy Anda.

    Setelan ini mengidentifikasi bucket Cloud Storage tempat menyimpan manifes yang dirender.

Topik Pub/Sub

Cloud Deploy menggunakan Pub/Sub untuk memublikasikan notifikasi ke topik. Anda dapat mengonfigurasi topik ini untuk menggunakan kunci enkripsi yang dikelola pelanggan.

Logging

Cloud Deploy dan layanan dependennya memublikasikan log ke Cloud Logging, bagian dari Google Cloud Observability.

Anda dapat mengonfigurasi Logging untuk CMEK.