Container Registry 已淘汰。自 2025 年 3 月 18 日起，Container Registry 將關閉，因此無法將映像檔寫入 Container Registry。
如要進一步瞭解 Container Registry 淘汰事宜，以及如何遷移至 Artifact Registry，請參閱「Container Registry 淘汰事宜」。

本頁面由 Cloud Translation API 翻譯而成。

使用客戶管理的加密金鑰

Container Registry 會將容器映像檔儲存在 Cloud Storage 中，而 Cloud Storage 一律會將伺服器端的資料加密。

如果您有法規遵循或法規要求，可以使用客戶自行管理的加密金鑰 (CMEK) 加密容器映像檔。Cloud Key Management Service 會管理 CMEK 金鑰。使用 CMEK 時，您可以停用或銷毀金鑰，暫時或永久停用加密容器映像檔的存取權。

機構政策限制

機構政策限制套用至 Container Registry 使用的服務時，可能會影響 Container Registry 的使用情形。

儲存空間值區的限制

如果 Cloud Storage API 位於限制 constraints/gcp.restrictNonCmekServices 的 Deny 政策清單中，您就無法將映像檔推送至 Container Registry。當第一個映像檔推送至主機時，Container Registry 不會使用 CMEK 建立儲存值區，而且您無法手動建立儲存值區。

如果您需要強制執行這項機構政策限制，建議您改為在 Artifact Registry 中託管圖片。您可以在 Artifact Registry 中手動建立可支援 gcr.io 網域要求的存放區，以便繼續使用現有的容器映像檔工作流程。詳情請參閱「轉換至支援 gcr.io 網域的存放區」。
設定 constraints/gcp.restrictCmekCryptoKeyProjects 後，必須使用來自允許專案、資料夾或機構的加密編譯金鑰，才能加密儲存體值區。新的桶分別會使用已設定的鍵，但不符合規定的現有桶分別必須預設為使用必要的鍵。

如要進一步瞭解限制如何套用至 Cloud Storage 值區，請參閱 Cloud Storage 說明文件中的限制相關資訊。

Pub/Sub 主題的限制

在Google Cloud 專案中啟用 Container Registry API 時，Container Registry 會嘗試使用 Google 管理的加密金鑰，自動建立主題 ID 為 gcr 的 Pub/Sub 主題。

如果 Pub/Sub API 位於限制 constraints/gcp.restrictNonCmekServices 的 Deny 政策清單中，主題就必須使用 CMEK 加密。如未使用 CMEK 加密金鑰，建立主題的要求將會失敗。

如要使用 CMEK 加密功能建立 gcr 主題，請參閱 Pub/Sub 加密主題的操作說明。

設定值區以使用 CMEK

Container Registry 並未直接與 Cloud KMS 整合。相反地，如果您將容器映像檔儲存在已設定為使用 CMEK的儲存空間 bucket 中，則會符合 CMEK 規範。

如果尚未完成，請將映像檔推送至 Container Registry。儲存體值區尚未使用 CMEK 金鑰。
在 Cloud Storage 中設定儲存體值區，以便使用 CMEK 金鑰。

註冊主機的值區名稱格式如下：

artifacts.PROJECT-ID.appspot.com (適用於主機 gcr.io 上儲存的圖片)
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com 適用於儲存在 asia.gcr.io、eu.gcr.io 或 us.gcr.io 的圖片。

後續步驟

進一步瞭解如何管理 Container Registry 映像檔。
進一步瞭解 CMEK
進一步瞭解 Cloud Storage