顧客管理の暗号鍵を使用する

Cloud Deploy は、依存関係にあるサービスとともに、ユーザーデータの保管と転送に使用する独自の暗号鍵を管理できます。

Cloud Deploy データ

Cloud Deploy は、リソースデータを暗号化して保存します。このストレージにはユーザーデータは含まれません。

Cloud Deploy の依存関係サービスは、顧客管理の暗号鍵を使用できます。以降のセクションでは、各依存サービスの実践について説明します。

Cloud Build

レンダリング オペレーションとデプロイ オペレーションは、CMEK に準拠した Cloud Build で実行されます。Cloud Build を CMEK に準拠するように構成する方法については、Cloud Build のドキュメントをご覧ください。

レンダリング ソースとレンダリングされたマニフェストは Cloud Storage バケットに保存されます。Cloud Build は Cloud Logging を使用してログを保存します。Cloud Deploy では、Cloud Deploy で使用するために Cloud Storage のロギングが明示的にオフになります。

Cloud Storage

Cloud Deploy で CMEK を使用するには、カスタム Cloud Storage バケットを使用して、それらのバケットを CMEK 用に構成する必要があります。

Cloud Deploy で使用する CMEK 管理のカスタム Cloud Storage バケットを指定するには:

  • gcloud deploy releases create コマンドに --gcs-source-staging-dir フラグを追加します。

    このフラグは、レンダリングするソースファイルを保存する Cloud Storage バケットを特定します。

  • Cloud Deploy 実行環境の保存場所の変更をします。

    この設定は、レンダリングされたマニフェストを保存する Cloud Storage バケットを特定します。

Pub/Sub トピック

Cloud Deploy は、Pub/Sub を使用してトピックに通知をパブリッシュします顧客管理の暗号鍵を使用するようにこれらのトピックを構成できます。

ロギング

Cloud Deploy とその依存サービスは、Google Cloud Observability の一部である Cloud Logging にログを公開します。

Logging の CMEK を構成できます。