Cloud Build 中的 CMEK 法規遵循

Cloud Build 會使用為每個版本產生的暫時性金鑰，加密建構期間的永久磁碟，以提供客戶管理式加密金鑰 (CMEK) 相容性。因此您不必調整任何設定。系統會為每個版本產生專屬的金鑰。

建構作業開始後，只有需要金鑰的建構程序可存取金鑰，最多 24 小時。接著，系統會從記憶體中清除金鑰並銷毀。

這組金鑰不會保留在任何地方，Google 工程師或支援人員無法存取，也無法還原。使用這類金鑰保護的資料，一旦建構作業完成，就永遠無法存取。

暫時性金鑰加密機制如何運作？

Cloud Build 會透過使用暫時性金鑰支援 CMEK，讓其與啟用 CMEK 的設定完全一致且相容。

Cloud Build 會執行下列操作，確保建構期間的永久磁碟會使用暫時性金鑰加密：

1. Cloud Build 會產生隨機的 256 位元加密金鑰，用於加密每個建構期間的永久磁碟。

2. Cloud Build 會利用永久磁碟的「客戶提供的加密金鑰」(CSEK) 功能，將這組新加密金鑰用作永久磁碟加密金鑰。

3. Cloud Build 會在磁碟建立後立即銷毀暫時性金鑰。這組金鑰從未記錄或寫入任何永久性儲存空間，因此無法復原。

4. 建構作業完成後，系統會刪除永久磁碟，此時 Google 基礎架構中不會留下任何金鑰或加密永久磁碟資料的痕跡。

何時不適用暫時性金鑰加密功能？

使用原始碼鏡射功能 (而非 GitHub 觸發條件) 建立或觸發建構作業時，原始碼會儲存在 Cloud Storage 或 Cloud Source Repositories 中。您可以完全控管程式碼儲存位置，包括加密方式。