Cloud Deploy 及其依赖项服务可让您管理自己的加密密钥,以用于存储和传输任何用户数据。
Cloud Deploy 数据
Cloud Deploy 会以加密方式存储资源数据。此存储空间不包含任何用户数据。
Cloud Deploy 依赖项服务可以使用客户管理的加密密钥。 以下部分介绍了每个依赖项服务的实践。
Cloud Build
渲染和部署操作通过 Cloud Build 执行,后者符合 CMEK 标准。如需详细了解如何将 Cloud Build 配置为符合 CMEK 标准,请参阅Cloud Build 文档。
渲染来源和已渲染清单存储在 Cloud Storage 存储分区中。 Cloud Build 使用 Cloud Logging 存储其日志, 而 Cloud Deploy 会明确关闭 Cloud Storage 日志记录 以供 Cloud Deploy 使用。
Cloud Storage
如需将 CMEK 与 Cloud Deploy 搭配使用,您需要使用自定义 Cloud Storage 存储分区,并为这些存储分区配置 CMEK。
如需指定要与 Cloud Deploy 搭配使用的自定义 CMEK 管理的 Cloud Storage 存储分区,请执行以下操作:
在
gcloud deploy releases create命令中添加--gcs-source-staging-dir标志。此标志用于标识要存储渲染源文件的 Cloud Storage 存储桶。
更改存储位置 在您的 Cloud Deploy 执行环境中。
此设置用于标识要存储已渲染清单的 Cloud Storage 存储桶。
Pub/Sub 主题
Cloud Deploy 使用 Pub/Sub 将通知发布 到主题。您可以 将这些主题配置为使用客户管理的加密密钥。
日志记录
Cloud Deploy 及其依赖项服务会将日志发布到 Cloud Logging(Google Cloud Observability 的一部分)。