Utilizzo delle chiavi di crittografia gestite dal cliente

Cloud Deploy, insieme ai relativi servizi dipendenti, ti consente di gestire le tue chiavi di crittografia per l'archiviazione e il transito di tutti i dati utente.

Dati di Cloud Deploy

Cloud Deploy archivia i dati delle risorse sotto forma criptata. Questo spazio di archiviazione non include alcun dato utente.

I servizi dipendenti da Cloud Deploy possono utilizzare chiavi di crittografia gestite dal cliente. Le sezioni seguenti illustrano le pratiche di ciascun servizio dipendente.

Cloud Build

Le operazioni di rendering e deployment vengono eseguite tramite Cloud Build, che è conforme a CMEK. Per ulteriori informazioni sulla configurazione di Cloud Build per la conformità a CMEK, consulta la documentazione di Cloud Build.

I manifest di origine e di rendering vengono archiviati nei bucket Cloud Storage. Cloud Build archivia i propri log utilizzando Cloud Logging e Cloud Deploy disattiva esplicitamente la registrazione di Cloud Storage per l'utilizzo con Cloud Deploy.

Cloud Storage

Per utilizzare CMEK con Cloud Deploy, devi utilizzare i bucket Cloud Storage personalizzati e configurarli per CMEK.

Per specificare i bucket Cloud Storage personalizzati gestiti con CMEK da utilizzare con Cloud Deploy:

  • Includi il flag --gcs-source-staging-dir nel comando gcloud deploy releases create.

    Questo flag identifica il bucket Cloud Storage in cui archiviare i file di origine di rendering.

  • Modifica la posizione di archiviazione nel tuo ambiente di esecuzione di Cloud Deploy.

    Questa impostazione identifica il bucket Cloud Storage in cui archiviare i manifest visualizzati.

Argomenti Pub/Sub

Cloud Deploy utilizza Pub/Sub per pubblicare notifiche in argomenti. Puoi configurare questi argomenti in modo da utilizzare chiavi di crittografia gestite dal cliente.

Logging

Cloud Deploy e i relativi servizi dipendenti pubblicano i log in Cloud Logging, parte dell'osservabilità di Google Cloud.

Puoi configurare Logging per CMEK.