Cloud Build bietet kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) Compliance. Dabei wird der nichtflüchtige Speicher für die Build-Dauer mit einem sitzungsspezifischen Schlüssel verschlüsselt, der für jeden Build generiert wird. Es ist keine Konfiguration erforderlich. Für jeden Build wird ein eindeutiger Schlüssel generiert.
Sobald ein Build gestartet wird, ist der Schlüssel nur für die Build-Prozesse zugänglich, die ihn für die Dauer des Builds benötigen. Anschließend wird der Schlüssel aus dem Speicher entfernt und gelöscht.
Der Schlüssel wird nirgendwo aufbewahrt, ist weder für Google-Entwickler noch für Supportmitarbeiter zugänglich und kann nicht wiederhergestellt werden. Die mit einem solchen Schlüssel geschützten Daten sind nach Abschluss des Builds dauerhaft unzugänglich.
Wie funktioniert die flüchtige Schlüsselverschlüsselung?
Cloud Build unterstützt CMEK durch Verwendung von sitzungsspezifischen Schlüsseln. Der Service ist dadurch vollständig mit einer CMEK-fähigen Einrichtung konsistent und kompatibel.
Cloud Build führt die folgenden Schritte aus, damit zum Erstellen verwendete nichtflüchtige Speicher mit einem sitzungsspezifischen Schlüssel verschlüsselt werden:
Cloud Build erstellt einen zufälligen 256-Bit-Verschlüsselungsschlüssel, um jeden nichtflüchtigen Speicher während der Erstellung zu verschlüsseln.
Cloud Build nutzt die Funktion des nichtflüchtigen Speichers für vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Key, CSEK), um den neuen Verschlüsselungsschlüssel als Verschlüsselungsschlüssel für den nichtflüchtigen Speicher zu verwenden.
Cloud Build löscht den sitzungsspezifischen Schlüssel, sobald der nichtflüchtige Speicher erstellt wurde. Der Schlüssel wird nie protokolliert oder in einen nichtflüchtigen Speicher geschrieben und kann nicht mehr wiederhergestellt werden.
Nach Abschluss des Builds wird der nichtflüchtige Speicher gelöscht. Danach sind weder der Schlüssel noch die verschlüsselten Daten im nichtflüchtigen Speicher in der Google-Infrastruktur zu finden.
Wann erfolgt keine flüchtige Schlüsselverschlüsselung?
Wenn Sie einen Build durch Quellspiegelung (anstatt mit GitHub-Triggern) erstellen oder auslösen, wird der Quellcode in Cloud Storage oder Cloud Source Repositories gespeichert. Sie können den Speicherort für den Code frei wählen und seine Verschlüsselung uneingeschränkt steuern.
Build-Logs
Cloud Build bietet mehrere Optionen zum Speichern von Build Logs. Um CMEK-konform zu sein, müssen Sie Ihre Logs nur in Cloud Logging oder in Ihrem eigenen Cloud Storage-Bucket speichern.