Usar chaves de criptografia gerenciadas pelo cliente

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

O Google Cloud Deploy, junto com seus serviços dependentes, permite que você gerencie suas próprias chaves de criptografia para armazenamento e transporte de dados do usuário.

Dados do Google Cloud Deploy

O Google Cloud Deploy armazena dados de recursos criptografados. Esse armazenamento não inclui dados do usuário.

Os serviços dependentes do Google Cloud Deploy podem usar chaves de criptografia gerenciadas pelo cliente. As seções a seguir abordam as práticas de cada serviço dependente.

Cloud Build

As operações de renderização e implantação são realizadas por meio do Cloud Build, que é compatível com CMEK. Para mais informações sobre como configurar o Cloud Build para ser compatível com CMEK, consulte a documentação do Cloud Build.

Os manifestos de origem e de renderização são armazenados nos buckets do Cloud Storage. O Cloud Build armazena os registros usando o Cloud Logging, e o Google Cloud Deploy desativa explicitamente a geração de registros do Cloud Storage para uso com o Google Cloud Deploy.

Cloud Storage

Para usar o CMEK com o Google Cloud Deploy, é preciso usar buckets personalizados do Cloud Storage e configurar esses buckets para o CMEK.

Para especificar os buckets personalizados do Cloud Storage gerenciados pelo CMEK para uso com o Google Cloud Deploy:

  • Inclua a sinalização --gcs-source-staging-dir no comando gcloud deploy releases create.

    Essa sinalização identifica o bucket do Cloud Storage em que os arquivos de origem de renderização serão armazenados.

  • Altere o local de armazenamento no ambiente de execução do Google Cloud Deploy.

    Essa configuração identifica o bucket do Cloud Storage em que os manifestos renderizados são armazenados.

Tópicos do Pub/Sub

O Google Cloud Deploy usa o Pub/Sub para publicar notificações em tópicos. É possível configurar esses tópicos para usar chaves de criptografia gerenciadas pelo cliente.

Geração de registros

O Google Cloud Deploy e os serviços dependentes publicam registros no Cloud Logging, parte do pacote de operações do Google Cloud.

É possível configurar a geração de registros para CMEK.