O Cloud Deploy, junto com os serviços dependentes, permite que você gerencie suas próprias chaves de criptografia para armazenamento e trânsito de quaisquer dados do usuário.
Dados do Cloud Deploy
O Cloud Deploy armazena dados de recursos criptografados. Esse armazenamento não inclui dados do usuário.
Os serviços dependentes do Cloud Deploy podem usar chaves de criptografia gerenciadas pelo cliente. As seções a seguir abordam as práticas de cada serviço dependente.
Cloud Build
As operações de renderização e implantação são realizadas pelo Cloud Build, que é compatível com CMEK. Para mais informações sobre como configurar o Cloud Build para que fique em conformidade com a CMEK, consulte a documentação do Cloud Build.
Os manifestos renderizados e de origem de renderização são armazenados nos buckets do Cloud Storage. O Cloud Build armazena os registros usando o Cloud Logging, e o Cloud Deploy desativa explicitamente a geração de registros do Cloud Storage para uso com o Cloud Deploy.
Cloud Storage
Para usar a CMEK com o Cloud Deploy, você precisa usar buckets personalizados do Cloud Storage e configurá-los para a CMEK.
Para especificar os buckets do Cloud Storage personalizados e gerenciados pela CMEK para uso com o Cloud Deploy:
Inclua a sinalização
--gcs-source-staging-dirno comandogcloud deploy releases create.Essa sinalização identifica o bucket do Cloud Storage em que os arquivos de origem de renderização são armazenados.
Altere o local de armazenamento no ambiente de execução do Cloud Deploy.
Essa configuração identifica o bucket do Cloud Storage em que os manifestos renderizados são armazenados.
Tópicos do Pub/Sub
O Cloud Deploy usa o Pub/Sub para publicar notificações em tópicos. É possível configurar esses tópicos para usar chaves de criptografia gerenciadas pelo cliente.
Geração de registros
O Cloud Deploy e os serviços dependentes dele publicam registros no Cloud Logging, parte da observabilidade do Google Cloud.
É possível configurar a geração de registros para CMEK.