Secret Manager を使用して Amazon S3 または Microsoft Azure の認証情報を保存し、渡す場合、顧客管理の暗号鍵(CMEK)を使用して、それらの保管されている認証情報を暗号化できます。
手順については、Secret Manager の顧客管理の暗号鍵を有効にするをご覧ください。
組織のポリシーで CMEK を適用する
組織のポリシーで CMEK の使用を適用するには、Storage Transfer Service と Secret Manager を constraints/gcp.restrictNonCmekServices 拒否リストに追加します。具体的には、以下を追加します。
secretmanager.googleapis.comstoragetransfer.googleapis.com
手順については、組織のポリシーの作成と管理をご覧ください。
Storage Transfer Service は、ジョブの作成と更新時にこの制限を確認し、適用します。既存の転送ジョブは影響を受けません。