借助 Cloud Deploy 及其依赖服务,您可以管理自己的加密密钥,以便存储和传输任何用户数据。
Cloud Deploy 数据
Cloud Deploy 会以加密形式存储资源数据。此存储空间不包含任何用户数据。
Cloud Deploy 依赖服务可以使用客户管理的加密密钥。以下部分介绍了每项依赖服务的做法。
Cloud Build
渲染和部署操作通过 Cloud Build 执行,该工具符合 CMEK 要求。如需详细了解如何配置 Cloud Build 以符合 CMEK 要求,请参阅 Cloud Build 文档。
渲染源和已渲染清单存储在 Cloud Storage 存储分区中。Cloud Build 使用 Cloud Logging 存储日志,Cloud Deploy 会明确关闭 Cloud Storage 日志记录,以便与 Cloud Deploy 搭配使用。
Cloud Storage
如需将 CMEK 与 Cloud Deploy 搭配使用,您需要使用自定义 Cloud Storage 存储分区,并为这些存储分区配置 CMEK。
如需指定由 CMEK 管理的自定义 Cloud Storage 存储分区以与 Cloud Deploy 搭配使用,请执行以下操作:
在
gcloud deploy releases create命令中添加--gcs-source-staging-dir标志。此标志用于标识用于存储渲染源文件的 Cloud Storage 存储分区。
在 Cloud Deploy 执行环境中更改存储位置。
此设置用于标识存储已渲染清单的 Cloud Storage 存储分区。
Pub/Sub 主题
Cloud Deploy 使用 Pub/Sub 向主题发布通知。您可以将这些主题配置为使用客户管理的加密密钥。
日志记录
Cloud Deploy 及其依赖服务会将日志发布到 Cloud Logging(Google Cloud Observability 的一部分)。