Kepatuhan CMEK di Cloud Build

Cloud Build memberikan kepatuhan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengenkripsi disk persisten waktu build dengan kunci sementara yang dihasilkan untuk setiap build. Tidak perlu konfigurasi. Kunci dibuat secara unik untuk setiap build.

Setelah build dimulai, kunci hanya dapat diakses oleh proses build yang memerlukannya hingga 24 jam. Kemudian, kunci akan dihapus dari memori dan dihancurkan.

Kunci tidak disimpan di mana pun, tidak dapat diakses oleh engineer atau staf dukungan Google, dan tidak dapat dipulihkan. Data yang dilindungi menggunakan kunci tersebut tidak dapat diakses secara permanen setelah build selesai.

Bagaimana cara kerja enkripsi kunci sementara?

Cloud Build mendukung CMEK melalui penggunaan kunci sementara, sehingga kunci tersebut sepenuhnya konsisten dan kompatibel dengan penyiapan yang mendukung CMEK.

Cloud Build melakukan hal berikut untuk memastikan disk persisten waktu build dienkripsi dengan kunci sementara:

1. Cloud Build membuat kunci enkripsi acak 256-bit untuk mengenkripsi setiap persistent disk waktu build.

2. Cloud Build memanfaatkan fitur Kunci Enkripsi yang Disediakan Pelanggan (CSEK) persistent disk untuk menggunakan kunci enkripsi baru ini sebagai kunci enkripsi persistent disk.

3. Cloud Build akan menghancurkan kunci sementara segera setelah disk dibuat. Kunci tidak pernah dicatat ke dalam log atau ditulis ke penyimpanan persisten apa pun dan kini tidak dapat diambil.

4. Setelah build selesai, persistent disk akan dihapus, dan pada saat itu tidak ada jejak kunci atau data persistent disk terenkripsi yang tersisa di mana pun di infrastruktur Google.

Kapan enkripsi kunci sementara tidak berlaku?

Saat Anda membuat atau memicu build menggunakan pencerminan sumber (dan tidak menggunakan pemicu GitHub), kode sumber Anda akan disimpan di Cloud Storage atau Cloud Source Repositories. Anda memiliki kontrol penuh atas lokasi penyimpanan kode, termasuk kontrol atas enkripsinya.