Utilizzo delle chiavi di crittografia gestite dal cliente

Container Registry archivia le immagini container in Cloud Storage. Cloud Storage cripta sempre i dati sul lato server.

Se hai requisiti di conformità o normativi, puoi criptare le immagini dei contenitori utilizzando le chiavi di crittografia gestite dal cliente (CMEK). Le chiavi CMEK vengono gestite in Cloud Key Management Service. Quando utilizzi le chiavi CMEK, puoi disattivare temporaneamente o definitivamente l'accesso a un'immagine container criptata disattivando o distruggendo la chiave.

Vincoli dei criteri dell'organizzazione

I vincoli delle norme dell'organizzazione possono influire sull'utilizzo di Container Registry quando si applicano ai servizi utilizzati da Container Registry.

Vincoli per i bucket di archiviazione

  • Quando l'API Cloud Storage è nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, non puoi inviare le immagini a Container Registry. Container Registry non utilizza CMEK per creare i bucket di archiviazione quando viene eseguito il push della prima immagine su un host e non puoi crearli manualmente.

    Se devi applicare questo vincolo dei criteri dell'organizzazione, ti consigliamo di ospitare le immagini in Artifact Registry. Puoi creare manualmente i repository in Artifact Registry che supportano le richieste al dominio gcr.io in modo da poter continuare a utilizzare i flussi di lavoro delle immagini container esistenti. Per maggiori dettagli, consulta Transizione ai repository con supporto per il dominio gcr.io.

  • Quando constraints/gcp.restrictCmekCryptoKeyProjects è configurato, i bucket di archiviazione devono essere criptati con una CryptoKey di un progetto, di una cartella o di un'organizzazione consentiti. I nuovi bucket utilizzeranno la chiave configurata, ma i bucket esistenti non conformi devono essere configurati per utilizzare la chiave richiesta per impostazione predefinita.

Per ulteriori informazioni su come vengono applicati i vincoli ai bucket Cloud Storage, consulta la documentazione di Cloud Storage sui vincoli.

Limitazioni per gli argomenti Pub/Sub

Quando attivi l'API Container Registry in un progetto Google Cloud, Container Registry tenta di creare automaticamente un argomento Pub/Sub con l'ID argomento gcr utilizzando le chiavi di crittografia gestite da Google.

Quando l'API Pub/Sub è nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, gli argomenti devono essere criptati con CMEK. Le richieste di creazione di un argomento senza crittografia CMEK non andranno a buon fine.

Per creare l'argomento gcr con crittografia CMEK, consulta le istruzioni di Pub/Sub per la crittografia degli argomenti.

Configurazione dei bucket per l'utilizzo di CMEK

Container Registry non è integrato direttamente con Cloud KMS. È invece conforme a CMEK se archivi le immagini dei container in bucket di archiviazione configurati per l'utilizzo di CMEK.

  1. Se non l'hai ancora fatto, esegui il push di un'immagine in Container Registry. Il bucket di archiviazione non utilizza ancora una chiave CMEK.

  2. In Cloud Storage, configura il bucket di archiviazione per utilizzare la chiave CMEK.

Il nome del bucket per un host del registry ha uno dei seguenti formati:

  • artifacts.PROJECT-ID.appspot.com per le immagini archiviate sull'host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com per le immagini memorizzate su asia.gcr.io, eu.gcr.io o us.gcr.io.

Passaggi successivi