Cloud Deploy 和其依附服務可讓您管理自己的加密金鑰,用於儲存及傳輸任何使用者資料。
Cloud Deploy 資料
Cloud Deploy 會加密儲存資源資料。這個容量不包含任何使用者資料。
Cloud Deploy 依附的服務可以使用客戶管理的加密金鑰。接下來的章節將說明各項依附服務的做法。
Cloud Build
算繪和部署作業是透過符合 CMEK 規範的 Cloud Build 執行。如要進一步瞭解如何設定 Cloud Build,使其符合 CMEK 規定,請參閱 Cloud Build 說明文件。
算繪來源和算繪資訊清單會儲存在 Cloud Storage 值區中。 Cloud Build 會使用 Cloud Logging 儲存記錄,而 Cloud Deploy 會明確關閉 Cloud Storage 記錄,以便與 Cloud Deploy 搭配使用。
Cloud Storage
如要在 Cloud Deploy 中使用 CMEK,您必須使用自訂 Cloud Storage bucket,並為這些 bucket 設定 CMEK。
如要指定自訂的 CMEK 管理 Cloud Storage bucket,以便與 Cloud Deploy 搭配使用,請按照下列步驟操作:
在
gcloud deploy releases create指令中加入--gcs-source-staging-dir旗標。這個旗標會識別要儲存算繪來源檔案的 Cloud Storage bucket。
在 Cloud Deploy 執行環境中變更儲存位置。
這項設定會指定要儲存已算繪資訊清單的 Cloud Storage bucket。
Pub/Sub 主題
Cloud Deploy 會使用 Pub/Sub 將通知發布至主題。您可以將這些主題設為使用客戶自行管理的加密金鑰。
記錄
Cloud Deploy 和其依附元件服務會將記錄發布至 Cloud Logging (Google Cloud Observability 的一部分)。
您可以為 CMEK 設定記錄。