Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden

Container Registry speichert Container-Images in Cloud Storage. Cloud Storage verschlüsselt Ihre Daten immer auf der Serverseite.

Wenn Sie Compliance- oder behördliche Anforderungen erfüllen müssen, können Sie Ihre Container-Images mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln. CMEK-Schlüssel werden im Cloud Key Management Service verwaltet. Wenn Sie CMEK verwenden, können Sie den Zugriff auf ein verschlüsseltes Container-Image vorübergehend oder dauerhaft deaktivieren, indem Sie den Schlüssel deaktivieren oder löschen.

Einschränkungen für Organisationsrichtlinien

Einschränkungen für Organisationsrichtlinien können sich auf die Nutzung von Container Registry auswirken, wenn sie für Dienste gelten, die von Container Registry verwendet werden.

Einschränkungen für Speicher-Buckets

• Wenn sich die Cloud Storage API in der Deny-Richtlinienliste für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, können Sie keine Images in die Container Registry pushen. Container Registry verwendet CMEK nicht, um Storage-Buckets zu erstellen, wenn das erste Image per Push-Befehl an einen Host übertragen wird. Sie können die Storage-Buckets auch nicht manuell erstellen.

  Wenn Sie diese Einschränkung der Organisationsrichtlinie erzwingen müssen, sollten Sie Ihre Images stattdessen in Artifact Registry hosten. Sie können Repositories in Artifact Registry manuell erstellen, die Anfragen an die gcr.io-Domain unterstützen, damit Sie Ihre vorhandenen Workflows für Container-Images weiterhin verwenden können. Weitere Informationen finden Sie unter Zu Repositories mit Unterstützung von gcr.io-Domains wechseln.

• Wenn constraints/gcp.restrictCmekCryptoKeyProjects konfiguriert ist, müssen Speicher-Buckets mit einem CryptoKey aus einem zulässigen Projekt, Ordner oder einer zulässigen Organisation verschlüsselt werden. Für neue Bucket wird der konfigurierte Schlüssel verwendet. Bestehende Bucket, die nicht konform sind, müssen so konfiguriert werden, dass der erforderliche Schlüssel standardmäßig verwendet wird.

Weitere Informationen dazu, wie Einschränkungen auf Cloud Storage-Buckets angewendet werden, finden Sie in der Cloud Storage-Dokumentation zu Einschränkungen.

Einschränkungen für Pub/Sub-Themen

Wenn Sie die Container Registry API in einemGoogle Cloud -Projekt aktivieren, versucht Container Registry, automatisch ein Pub/Sub-Thema mit der Themen-ID gcr mithilfe von von Google verwalteten Verschlüsselungsschlüsseln zu erstellen.

Wenn sich die Pub/Sub API in der Richtlinienliste Deny für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, müssen Themen mit CMEK verschlüsselt werden. Anfragen zum Erstellen eines Themas ohne CMEK-Verschlüsselung schlagen fehl.

Informationen zum Erstellen des gcr-Themas mit CMEK-Verschlüsselung finden Sie in der Pub/Sub-Anleitung zum Verschlüsseln von Themen.

Buckets für die Verwendung von CMEK konfigurieren

Container Registry ist nicht direkt in Cloud KMS eingebunden. Stattdessen ist es CMEK-konform, wenn Sie Ihre Container-Images in Speicher-Buckets speichern, die für die Verwendung von CMEK konfiguriert sind.

1. Ist dies nicht der Fall, übertragen Sie ein Image an Container Registry. Für den Storage-Bucket wird noch kein CMEK-Schlüssel verwendet.

2. Konfigurieren Sie in Cloud Storage den Storage-Bucket für die Verwendung des CMEK-Schlüssels.

Der Bucket-Name für einen Registry-Host hat eines der folgenden Formate:

• artifacts.PROJECT-ID.appspot.com für Images, die auf dem Host gcr.io gespeichert sind
• STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für Bilder, die auf asia.gcr.io, eu.gcr.io oder us.gcr.io gespeichert sind.

Nächste Schritte

• Weitere Informationen zum Thema Container Registry-Images verwalten.
• Weitere Informationen zu CMEK
• Weitere Informationen zu Cloud Storage