Usar chaves de criptografia gerenciadas pelo cliente

O Cloud Deploy, junto com os serviços dependentes, permite gerenciar as próprias chaves de criptografia para armazenamento e trânsito de dados do usuário.

Dados do Cloud Deploy

O Cloud Deploy armazena dados de recursos criptografados. Esse armazenamento não inclui nenhum dado do usuário.

Os serviços dependentes do Cloud Deploy podem usar chaves de criptografia gerenciadas pelo cliente. As seções a seguir abordam as práticas de cada serviço dependente.

Cloud Build

As operações de renderização e implantação são realizadas pelo Cloud Build, que é compatível com o CMEK. Para mais informações sobre como configurar o Cloud Build para ser compatível com o CMEK, consulte a documentação do Cloud Build.

A origem da renderização e os manifestos renderizados são armazenados em buckets do Cloud Storage. O Cloud Build armazena os registros usando o Cloud Logging, e o Cloud Deploy desativa explicitamente o registro do Cloud Storage para uso com o Cloud Deploy.

Cloud Storage

Para usar a CMEK com o Cloud Deploy, você precisa usar buckets personalizados do Cloud Storage e configurar esses buckets para a CMEK.

Para especificar seus buckets personalizados do Cloud Storage gerenciados por CMEK para uso com o Cloud Deploy:

  • Inclua a flag --gcs-source-staging-dir no comando gcloud deploy releases create.

    Essa flag identifica o bucket do Cloud Storage em que os arquivos de origem da renderização serão armazenados.

  • Mude o local de armazenamento no ambiente de execução do Cloud Deploy.

    Essa configuração identifica o bucket do Cloud Storage em que os manifestos renderizados serão armazenados.

Tópicos do Pub/Sub

O Cloud Deploy usa o Pub/Sub para publicar notificações em tópicos. É possível configurar esses tópicos para usar chaves de criptografia gerenciadas pelo cliente.

Logging

O Cloud Deploy e os serviços dependentes dele publicam registros no Cloud Logging, que faz parte da Observabilidade do Google Cloud.

É possível configurar a geração de registros para a CMEK.