Cloud Deploy は、依存関係にあるサービスとともに、ユーザーデータの保管と転送に使用する独自の暗号鍵を管理できます。
Cloud Deploy データ
Cloud Deploy は、リソースデータを暗号化して保存します。このストレージにはユーザーデータは含まれません。
Cloud Deploy の依存関係サービスは、顧客管理の暗号鍵を使用できます。以降のセクションでは、各依存サービスの実践について説明します。
Cloud Build
レンダリング オペレーションとデプロイ オペレーションは、CMEK に準拠した Cloud Build で実行されます。Cloud Build を CMEK に準拠するように構成する方法については、Cloud Build のドキュメントをご覧ください。
レンダリング ソースとレンダリングされたマニフェストは Cloud Storage バケットに保存されます。Cloud Build は Cloud Logging を使用してログを保存します。Cloud Deploy では、Cloud Deploy で使用するために Cloud Storage のロギングが明示的にオフになります。
Cloud Storage
Cloud Deploy で CMEK を使用するには、カスタム Cloud Storage バケットを使用して、それらのバケットを CMEK 用に構成する必要があります。
Cloud Deploy で使用する CMEK 管理のカスタム Cloud Storage バケットを指定するには:
gcloud deploy releases createコマンドに--gcs-source-staging-dirフラグを追加します。このフラグは、レンダリングするソースファイルを保存する Cloud Storage バケットを特定します。
Cloud Deploy 実行環境の保存場所の変更をします。
この設定は、レンダリングされたマニフェストを保存する Cloud Storage バケットを特定します。
Pub/Sub トピック
Cloud Deploy は、Pub/Sub を使用してトピックに通知をパブリッシュします。顧客管理の暗号鍵を使用するようにこれらのトピックを構成できます。
ロギング
Cloud Deploy とその依存サービスは、Google Cloud Observability の一部である Cloud Logging にログを公開します。
Logging の CMEK を構成できます。