使用客户管理的加密密钥

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

借助 Google Cloud Deploy 及其相关服务,您可以管理自己的加密密钥来存储和传输任何用户数据。

Google Cloud Deploy 数据

Google Cloud Deploy 存储加密的资源数据。此存储空间不包含任何用户数据。

Google Cloud Deploy 依赖服务可以使用客户管理的加密密钥。以下部分介绍了每个相关服务的做法。

Cloud Build

渲染和部署操作通过符合 CMEK 的 Cloud Build 执行。如需详细了解如何将 Cloud Build 配置为兼容 CMEK,请参阅 Cloud Build 文档

渲染源和渲染清单存储在 Cloud Storage 存储分区中。Cloud Build 使用 Cloud Logging 存储其日志,而 Google Cloud Deploy 会明确关闭 Cloud Storage 日志记录,以用于 Google Cloud Deploy。

Cloud Storage

如需将 CMEK 与 Google Cloud Deploy 搭配使用,您需要使用自定义 Cloud Storage 存储分区,并为 CMEK 配置这些存储分区

如需指定用于 Google Cloud Deploy 的自定义 CMEK 管理的 Cloud Storage 存储分区,请执行以下操作:

  • gcloud deploy releases create 命令中添加 --gcs-source-staging-dir 标志。

    此标志标识存储渲染源文件的 Cloud Storage 存储桶。

  • 在 Google Cloud Deploy 执行环境中更改存储位置

    此设置用于标识存储渲染清单的 Cloud Storage 存储桶。

Pub/Sub 主题

Google Cloud Deploy 使用 Pub/Sub 将通知发布到主题。您可以配置这些主题以使用客户管理的加密密钥

日志记录

Google Cloud Deploy 及其相关服务会将日志发布到 Google Cloud 的运维套件 Cloud Logging。

您可以为 CMEK 配置 Logging