借助 Cloud Deploy 及其相关服务,您可以管理自己的加密密钥,以存储和传输任何用户数据。
Cloud Deploy 数据
Cloud Deploy 存储加密的资源数据。此存储空间不包含任何用户数据。
依赖于 Cloud Deploy 的服务可以使用客户管理的加密密钥。 接下来的部分介绍了每项依赖服务的做法。
Cloud Build
渲染和部署操作通过符合 CMEK 的 Cloud Build 执行。如需详细了解如何将 Cloud Build 配置为符合 CMEK 要求,请参阅 Cloud Build 文档。
渲染来源和渲染清单存储在 Cloud Storage 存储分区中。Cloud Build 使用 Cloud Logging 存储其日志,而 Cloud Deploy 会明确关闭 Cloud Storage 日志记录功能,以便与 Cloud Deploy 搭配使用。
Cloud Storage
如需将 CMEK 与 Cloud Deploy 搭配使用,您需要使用自定义 Cloud Storage 存储分区,并为 CMEK 配置这些存储分区。
如需指定由 CMEK 管理的自定义 Cloud Storage 存储分区以用于 Cloud Deploy,请执行以下操作:
在
gcloud deploy releases create命令中添加--gcs-source-staging-dir标志。此标志标识在其中存储渲染源文件的 Cloud Storage 存储桶。
在 Cloud Deploy 执行环境中更改存储位置。
此设置确定用于存储所呈现清单的 Cloud Storage 存储桶。
Pub/Sub 主题
Cloud Deploy 使用 Pub/Sub 向主题发布通知。您可以配置这些主题以使用客户管理的加密密钥。
日志记录
Cloud Deploy 及其依赖的服务将日志发布到 Cloud Logging(Google Cloud 可观测性的一部分)。