O Cloud Deploy e os serviços dependentes permitem gerenciar suas próprias chaves de criptografia para armazenamento e trânsito de dados do usuário.
Dados do Cloud Deploy
O Cloud Deploy armazena dados de recursos criptografados. Esse armazenamento não inclui dados do usuário.
Os serviços dependentes do Cloud Deploy podem usar chaves de criptografia gerenciadas pelo cliente. As seções a seguir abordam as práticas de cada serviço dependente.
Cloud Build
As operações de renderização e implantação são realizadas pelo Cloud Build, que é compatível com a CMEK. Para mais informações sobre como configurar o Cloud Build para obedecer à CMEK, consulte a documentação do Cloud Build.
A origem da renderização e os manifestos renderizados são armazenados em buckets do Cloud Storage. O Cloud Build armazena os registros usando o Cloud Logging, e o Cloud Deploy desativa explicitamente o registro do Cloud Storage para uso com o Cloud Deploy.
Cloud Storage
Para usar a CMEK com o Cloud Deploy, é necessário usar buckets personalizados do Cloud Storage e configurar esses buckets para a CMEK.
Para especificar seus buckets personalizados do Cloud Storage gerenciados por CMEK para uso com o Cloud Deploy:
Inclua a flag
--gcs-source-staging-dirno comandogcloud deploy releases create.Essa flag identifica o bucket do Cloud Storage em que os arquivos de origem de renderização serão armazenados.
Mude o local de armazenamento no ambiente de execução do Cloud Deploy.
Essa configuração identifica o bucket do Cloud Storage em que os manifestos renderizados serão armazenados.
Tópicos do Pub/Sub
O Cloud Deploy usa o Pub/Sub para publicar notificações em tópicos. É possível configurar esses tópicos para usar chaves de criptografia gerenciadas pelo cliente.
Logging
O Cloud Deploy e os serviços dependentes publicam registros no Cloud Logging, que faz parte do Google Cloud Observability.
É possível configurar o Logging para a CMEK.