您可以使用 Cloud Deploy 和相關的依附服務,管理用於儲存和傳輸任何使用者資料的加密金鑰。
Cloud Deploy 資料
Cloud Deploy 會以加密方式儲存資源資料。這個儲存空間不包含任何使用者資料。
Cloud Deploy 依附服務可使用客戶代管的加密金鑰。後續章節將說明各個依附服務的做法。
Cloud Build
轉譯和部署作業會透過 Cloud Build 執行,而 Cloud Build 符合 CMEK 法規。如要進一步瞭解如何設定 Cloud Build 以符合 CMEK 法規遵循要求,請參閱 Cloud Build 說明文件。
轉譯來源和轉譯後的資訊清單會儲存在 Cloud Storage 值區中。Cloud Build 會使用 Cloud Logging 儲存記錄,而 Cloud Deploy 會明確關閉 Cloud Storage 記錄功能,以便與 Cloud Deploy 搭配使用。
Cloud Storage
如要搭配 Cloud Deploy 使用 CMEK,您必須使用自訂 Cloud Storage 值區,並為這些值區設定 CMEK。
如要指定要與 Cloud Deploy 搭配使用的自訂 CMEK 管理 Cloud Storage 值區,請按照下列步驟操作:
在
gcloud deploy releases create指令中加入--gcs-source-staging-dir旗標。這個標記會指出用於儲存轉譯來源檔案的 Cloud Storage 值區。
在 Cloud Deploy 執行環境中變更儲存位置。
此設定會指出要用來儲存轉譯後資訊清單的 Cloud Storage 值區。
Pub/Sub 主題
Cloud Deploy 會使用 Pub/Sub 將通知發布至主題。您可以將這些主題設為使用客戶管理式加密金鑰。
記錄
Cloud Deploy 及其依附服務會將記錄發布至 Cloud Logging,這是 Google Cloud 觀測能力的一部分。
您可以為 CMEK 設定記錄功能。