Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
Cloud Build 中的 CMEK 合规性
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
Cloud Build 通过使用为每个 build 生成的临时密钥加密构建时永久性磁盘,来提供客户管理的加密密钥 (CMEK) 合规性。无需进行任何配置。该密钥是针对每个构建生成的唯一密钥。
构建开始后,只有需要该密钥的构建流程才能访问该密钥,最长可访问 24 小时。然后,系统会从内存中擦除并销毁该密钥。
该密钥不会保留在任何位置,就连 Google 工程师或支持人员也无法访问,并且无法恢复。使用此类密钥保护的数据在构建完成后将永久无法访问。
临时密钥加密的工作原理是什么?
Cloud Build 通过使用临时密钥来支持 CMEK,从而使其与支持 CMEK 的设置完全一致且兼容。
Cloud Build 会执行以下操作来确保使用临时密钥加密构建时永久性磁盘:
Cloud Build 会创建一个随机的 256 位加密密钥,用于加密每个构建时永久性磁盘。
Cloud Build 利用永久性磁盘的 CSEK(客户提供的加密密钥)功能,将这个新的加密密钥用作永久性磁盘加密密钥。
Cloud Build 会在创建磁盘后立即销毁临时密钥。系统绝不会将该密钥记录或写入到任何永久性存储空间,并且该密钥现在无法恢复。
构建完成后,系统会删除永久性磁盘,此时,Google 基础架构中的任何位置都不会保留该密钥的跟踪记录或加密的永久性磁盘数据。
临时密钥加密何时不适用?
当您使用源镜像(而非 GitHub 触发器)创建或触发构建时,您的源代码会存储在 Cloud Storage 或 Cloud Source Repositories 中。您可以完全控制代码存储位置,包括控制其加密方式。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2026-05-16。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2026-05-16。"],[],[]]
