借助 Cloud Deploy 及其依赖的服务,您可以管理自己的加密密钥来存储和传输任何用户数据。
Cloud Deploy 数据
Cloud Deploy 以加密方式存储资源数据。此存储空间不包含任何用户数据。
依赖 Cloud Deploy 的服务可以使用客户管理的加密密钥。 接下来的各部分介绍了每项依赖服务的做法。
Cloud Build
渲染和部署操作通过 Cloud Build 执行,Cloud Build 符合 CMEK 要求。如需详细了解如何配置 Cloud Build 以使其符合 CMEK 要求,请参阅 Cloud Build 文档。
渲染来源和渲染的清单存储在 Cloud Storage 存储分区中。Cloud Build 使用 Cloud Logging 存储其日志,Cloud Deploy 明确关闭 Cloud Storage 日志记录,以便与 Cloud Deploy 搭配使用。
Cloud Storage
如需将 CMEK 与 Cloud Deploy 搭配使用,您需要使用自定义 Cloud Storage 存储分区并为 CMEK 配置这些存储分区。
如需指定由 CMEK 管理的自定义 Cloud Storage 存储分区以用于 Cloud Deploy,请执行以下操作:
在
gcloud deploy releases create命令中添加--gcs-source-staging-dir标志。此标志标识用于存储渲染源文件的 Cloud Storage 存储桶。
在 Cloud Deploy 执行环境中更改存储位置。
此设置可确定用于存储所呈现清单的 Cloud Storage 存储桶。
Pub/Sub 主题
Cloud Deploy 使用 Pub/Sub 向主题发布通知。您可以将这些主题配置为使用客户管理的加密密钥。
日志记录
Cloud Deploy 及其依赖的服务将日志发布到 Cloud Logging(Google Cloud 的运维套件的一部分)。