使用客户管理的加密密钥

Container Registry 将容器映像存储在 Cloud Storage 中。Cloud Storage 始终会在服务器端对您的数据进行加密

如果您有合规性或监管要求,则可以使用客户管理的加密密钥 (CMEK) 来加密容器映像。CMEK 密钥在 Cloud Key Management Service 中进行管理。使用 CMEK 时,您可以通过停用或销毁密钥来临时或永久停用对加密容器映像的访问。

组织政策限制条件

组织政策限制条件应用于 Container Registry 使用的服务时,可能会影响 Container Registry 的使用。

存储分区的限制

  • 如果 Cloud Storage API 位于约束条件 constraints/gcp.restrictNonCmekServicesDeny 政策列表中,您将无法将映像推送到 Container Registry。在将第一个映像推送到主机时,Container Registry 不会使用 CMEK 创建存储分区,并且您也无法手动创建存储分区。

    如果您需要强制执行此组织政策限制条件,不妨改为在 Artifact Registry 中托管映像。您可以在 Artifact Registry 中手动创建支持对 gcr.io 网域的请求的代码库,以便继续使用现有的容器映像工作流。如需了解详情,请参阅转换到具有 gcr.io 网域支持的存储库

  • 配置 constraints/gcp.restrictCmekCryptoKeyProjects 后,必须使用允许的项目、文件夹或组织中的 CryptoKey 对存储分区进行加密。新存储分区将使用已配置的密钥,但默认情况下,不合规的现有存储分区必须配置为使用所需的密钥。

如需详细了解如何将约束条件应用于 Cloud Storage 存储分区,请参阅 Cloud Storage 文档中的约束条件部分。

Pub/Sub 主题的限制

在Google Cloud 项目中激活 Container Registry API 后,Container Registry 会尝试使用 Google 管理的加密密钥自动创建主题 ID 为 gcr 的 Pub/Sub 主题。

当 Pub/Sub API 位于限制条件 constraints/gcp.restrictNonCmekServicesDeny 政策列表中时,必须使用 CMEK 对主题进行加密。创建不使用 CMEK 加密的主题的请求将会失败。

如需使用 CMEK 加密创建 gcr 主题,请参阅 Pub/Sub 有关加密主题的说明

配置存储分区以使用 CMEK

Container Registry 未直接与 Cloud KMS 集成。 相反,如果您将容器映像存储在配置为使用 CMEK 的存储分区中,则该映像符合 CMEK

  1. 将映像推送到 Container Registry(如果您尚未执行此操作)。存储分区不使用 CMEK 密钥。

  2. 在 Cloud Storage 中,配置存储分区以使用 CMEK 密钥。

注册表主机的存储分区名称采用以下格式之一:

  • 对于存储在主机 gcr.io 上的映像,名称采用 artifacts.PROJECT-ID.appspot.com 格式
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com(适用于存储在 asia.gcr.ioeu.gcr.ious.gcr.io 上的图片)。

后续步骤