Cloud Deploy は、依存関係にあるサービスとともに、ユーザーデータの保管と転送に使用する独自の暗号鍵を管理できます。
Cloud Deploy のデータ
Cloud Deploy では、リソースデータを暗号化して保存します。このストレージにユーザーデータは含まれません。
Cloud Deploy 依存のサービスでは、顧客管理の暗号鍵を使用できます。以降の各セクションでは、依存するサービスごとのベスト プラクティスについて説明します。
Cloud Build
レンダリングとデプロイのオペレーションは、CMEK 準拠の Cloud Build を介して実行されます。CMEK に準拠するように Cloud Build を構成する方法については、Cloud Build のドキュメントをご覧ください。
レンダリング ソースとレンダリングされたマニフェストは、Cloud Storage バケットに保存されます。Cloud Build は Cloud Logging を使用してログを保存します。Cloud Deploy では Cloud Deploy で使用する Cloud Storage ロギングを明示的にオフにします。
Cloud Storage
Cloud Deploy で CMEK を使用するには、カスタム Cloud Storage バケットを使用し、CMEK 用にこれらのバケットを構成する必要があります。
Cloud Deploy で使用する CMEK 管理のカスタム Cloud Storage バケットを指定するには:
gcloud deploy releases createコマンドに--gcs-source-staging-dirフラグを含めます。このフラグは、レンダリングするソースファイルを保存する Cloud Storage バケットを特定します。
Cloud Deploy 実行環境の保存場所の変更をします。
この設定は、レンダリングされたマニフェストを保存する Cloud Storage バケットを特定します。
Pub/Sub トピック
Cloud Deploy は、Pub/Sub を使用してトピックに通知を公開します。これらのトピックは、顧客管理の暗号鍵を使用するように構成できます。
ロギング
Cloud Deploy とその依存サービスは、Google Cloud Observability の一部である Cloud Logging にログを公開します。
CMEK の Logging を構成できます。