Cloud Deploy, insieme ai servizi dipendenti, consente di gestire le tue chiavi di crittografia per l'archiviazione e il transito dei dati utente.
Dati di Cloud Deploy
Cloud Deploy archivia i dati delle risorse criptati. Questo spazio di archiviazione non include dati utente.
I servizi dipendenti di Cloud Deploy possono utilizzare chiavi di crittografia gestite dal cliente. Le sezioni che seguono illustrano le pratiche di ciascun servizio dipendente.
Cloud Build
Le operazioni di rendering e deployment vengono eseguite tramite Cloud Build, conforme a CMEK. Per saperne di più sulla configurazione di Cloud Build per la conformità a CMEK, consulta la documentazione di Cloud Build.
L'origine del rendering e i manifest sottoposti a rendering sono archiviati nei bucket di Cloud Storage. Cloud Build archivia i log utilizzando Cloud Logging e Cloud Deploy disattiva esplicitamente il logging di Cloud Storage per l'utilizzo con Cloud Deploy.
Cloud Storage
Per utilizzare CMEK con Cloud Deploy, devi utilizzare bucket Cloud Storage personalizzati e configurare quei bucket per CMEK.
Per specificare i bucket Cloud Storage personalizzati e gestiti da CMEK da utilizzare con Cloud Deploy:
Includi il flag
--gcs-source-staging-dirnel comandogcloud deploy releases create.Questo flag identifica il bucket Cloud Storage in cui archiviare i file di origine di rendering.
Modificare la località di archiviazione nell'ambiente di esecuzione di Cloud Deploy.
Questa impostazione identifica il bucket Cloud Storage in cui archiviare i manifest sottoposti a rendering.
argomenti Pub/Sub
Cloud Deploy utilizza Pub/Sub per pubblicare notifiche negli argomenti. Puoi configurare questi argomenti per utilizzare chiavi di crittografia gestite dal cliente.
Logging
Cloud Deploy e i suoi servizi dipendenti pubblicano log in Cloud Logging, parte dell'Osservabilità di Google Cloud.
Puoi configurare Logging per CMEK.