Mit Cloud Deploy und den zugehörigen Diensten können Sie Ihre eigenen Verschlüsselungsschlüssel für die Speicherung und Übertragung von Nutzerdaten verwalten.
Cloud Deploy-Daten
Cloud Deploy speichert Ressourcendaten verschlüsselt. Diese Speicherung umfasst keine Nutzerdaten.
Die von Cloud Deploy abhängigen Dienste können vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. In den folgenden Abschnitten werden die Praktiken der einzelnen abhängigen Dienste behandelt.
Cloud Build
Rendering- und Bereitstellungsvorgänge werden über Cloud Build ausgeführt, das CMEK-konform ist. Weitere Informationen zum Konfigurieren von Cloud Build für die CMEK-Konformität finden Sie in der Cloud Build-Dokumentation.
Renderingquellen und gerenderte Manifeste werden in Cloud Storage Buckets gespeichert. Cloud Build speichert seine Logs mit Cloud Logging, und Cloud Deploy deaktiviert die Cloud Storage-Protokollierung explizit für die Verwendung mit Cloud Deploy.
Cloud Storage
Wenn Sie CMEK mit Cloud Deploy verwenden möchten, müssen Sie benutzerdefinierte Cloud Storage-Buckets verwenden und diese Buckets für CMEK konfigurieren.
So geben Sie Ihre benutzerdefinierten, CMEK-verwalteten Cloud Storage-Buckets für die Verwendung mit Cloud Deploy an:
Fügen Sie dem
gcloud deploy releases createBefehl das--gcs-source-staging-dirFlag hinzu.Dieses Flag gibt den Cloud Storage-Bucket an, in dem die Rendering-Quelldateien gespeichert werden sollen.
Ändern Sie den Speicherort in Ihrer Cloud Deploy-Ausführungsumgebung.
Diese Einstellung gibt den Cloud Storage-Bucket an, in dem Ihre gerenderten Manifeste gespeichert werden sollen.
Pub/Sub-Themen
Cloud Deploy verwendet Pub/Sub, um Benachrichtigungen in Themen zu veröffentlichen. Sie können diese Themen so konfigurieren, dass sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden.
Logging
Cloud Deploy und die zugehörigen Dienste veröffentlichen Logs in Cloud Logging, einem Teil von Google Cloud Observability.
Sie können Logging für CMEK konfigurieren.