Cloud Deploy, insieme ai relativi servizi dipendenti, ti consente di gestire le tue chiavi di crittografia per l'archiviazione e il transito di tutti i dati utente.
Dati di Cloud Deploy
Cloud Deploy archivia i dati delle risorse sotto forma criptata. Questo spazio di archiviazione non include alcun dato utente.
I servizi dipendenti da Cloud Deploy possono utilizzare chiavi di crittografia gestite dal cliente. Le sezioni seguenti illustrano le pratiche di ciascun servizio dipendente.
Cloud Build
Le operazioni di rendering e deployment vengono eseguite tramite Cloud Build, che è conforme a CMEK. Per ulteriori informazioni sulla configurazione di Cloud Build per la conformità a CMEK, consulta la documentazione di Cloud Build.
I manifest di origine e di rendering vengono archiviati nei bucket Cloud Storage. Cloud Build archivia i propri log utilizzando Cloud Logging e Cloud Deploy disattiva esplicitamente la registrazione di Cloud Storage per l'utilizzo con Cloud Deploy.
Cloud Storage
Per utilizzare CMEK con Cloud Deploy, devi utilizzare i bucket Cloud Storage personalizzati e configurarli per CMEK.
Per specificare i bucket Cloud Storage personalizzati gestiti con CMEK da utilizzare con Cloud Deploy:
Includi il flag
--gcs-source-staging-dir
nel comandogcloud deploy releases create
.Questo flag identifica il bucket Cloud Storage in cui archiviare i file di origine di rendering.
Modifica la posizione di archiviazione nel tuo ambiente di esecuzione di Cloud Deploy.
Questa impostazione identifica il bucket Cloud Storage in cui archiviare i manifest visualizzati.
Argomenti Pub/Sub
Cloud Deploy utilizza Pub/Sub per pubblicare notifiche in argomenti. Puoi configurare questi argomenti in modo da utilizzare chiavi di crittografia gestite dal cliente.
Logging
Cloud Deploy e i relativi servizi dipendenti pubblicano i log in Cloud Logging, parte dell'osservabilità di Google Cloud.
Puoi configurare Logging per CMEK.