O Cloud Deploy, juntamente com os respetivos serviços dependentes, permite-lhe gerir as suas próprias chaves de encriptação para o armazenamento e o trânsito de quaisquer dados do utilizador.
Dados do Cloud Deploy
O Cloud Deploy armazena os dados dos recursos encriptados. Este armazenamento não inclui dados do utilizador.
Os serviços dependentes do Cloud Deploy podem usar chaves de encriptação geridas pelo cliente. As secções seguintes abordam as práticas de cada serviço dependente.
Cloud Build
As operações de renderização e implementação são realizadas através do Cloud Build, que está em conformidade com a CMEK. Para mais informações sobre a configuração do Cloud Build para estar em conformidade com a CMEK, consulte a documentação do Cloud Build.
As origens de renderização e os manifestos renderizados são armazenados em contentores do Cloud Storage. O Cloud Build armazena os respetivos registos através do Cloud Logging. O Cloud Deploy desativa explicitamente o registo do Cloud Storage para utilização com o Cloud Deploy.
Cloud Storage
Para usar as CMEK com o Cloud Deploy, tem de usar contentores do Cloud Storage personalizados e configurar esses contentores para as CMEK.
Para especificar os seus contentores do Cloud Storage personalizados geridos pela CMEK para utilização com o Cloud Deploy:
Inclua o sinalizador
--gcs-source-staging-dirno comandogcloud deploy releases create.Esta flag identifica o contentor do Cloud Storage no qual armazenar os ficheiros de origem de renderização.
Altere a localização de armazenamento no seu ambiente de execução do Cloud Deploy.
Esta definição identifica o contentor do Cloud Storage no qual armazenar os manifestos renderizados.
Tópicos do Pub/Sub
O Cloud Deploy usa o Pub/Sub para publicar notificações em tópicos. Pode configurar estes tópicos para usar chaves de encriptação geridas pelo cliente.
Registo
O Cloud Deploy e os respetivos serviços dependentes publicam registos no Cloud Logging, que faz parte do Google Cloud Observability.
Pode configurar o registo para a CMEK.