Container Registry speichert Container-Images in Cloud Storage. Cloud Storage verschlüsselt Ihre Daten immer auf der Serverseite.
Wenn Sie Compliance- oder behördliche Anforderungen erfüllen müssen, können Sie Ihre Container-Images mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln. CMEK-Schlüssel werden im Cloud Key Management Service verwaltet. Wenn Sie CMEK verwenden, können Sie den Zugriff auf ein verschlüsseltes Container-Image vorübergehend oder dauerhaft deaktivieren, indem Sie den Schlüssel deaktivieren oder löschen.
Einschränkungen für Organisationsrichtlinien
Einschränkungen für Organisationsrichtlinien können sich auf die Nutzung von Container Registry auswirken, wenn sie für Dienste gelten, die von Container Registry verwendet werden.
Einschränkungen für Storage-Buckets
Wenn sich die Cloud Storage API in der Richtlinienliste
Deny
für die Einschränkungconstraints/gcp.restrictNonCmekServices
befindet, können Sie keine Images in Container Registry hochladen. Container Registry verwendet CMEK nicht zum Erstellen von Storage-Buckets, wenn das erste Image an einen Host übertragen wird. Sie können die Storage-Buckets nicht manuell erstellen.Wenn Sie diese Einschränkung der Organisationsrichtlinie erzwingen müssen, sollten Sie die Images stattdessen in Artifact Registry hosten. Sie können manuell Repositories in Artifact Registry erstellen, die Anfragen an die Domain
gcr.io
unterstützen, sodass Sie weiterhin Ihre vorhandenen Container-Image-Workflows verwenden können. Weitere Informationen finden Sie unter Auf Repositories mit gcr.io-Domainsupport umstellen.Wenn
constraints/gcp.restrictCmekCryptoKeyProjects
konfiguriert ist, müssen Storage-Buckets mit einem CryptoKey aus einem zulässigen Projekt, Ordner oder einer zulässigen Organisation verschlüsselt werden. Neue Buckets verwenden den konfigurierten Schlüssel. Vorhandene Buckets, die nicht konform sind, müssen jedoch so konfiguriert werden, dass sie standardmäßig den erforderlichen Schlüssel verwenden.
Weitere Informationen zur Anwendung von Einschränkungen auf Cloud Storage-Buckets finden Sie in der Cloud Storage-Dokumentation zu Einschränkungen.
Einschränkungen für Pub/Sub-Themen
Wenn Sie die Container Registry API in einem Google Cloud-Projekt aktivieren, versucht Container Registry, mithilfe von von Google verwalteten Verschlüsselungsschlüsseln automatisch ein Pub/Sub-Thema mit der Themen-ID gcr
zu erstellen.
Wenn sich die Pub/Sub API in der Richtlinienliste Deny
für die Einschränkung constraints/gcp.restrictNonCmekServices
befindet, müssen Themen mit CMEK verschlüsselt werden. Anfragen zum Erstellen eines Themas ohne CMEK-Verschlüsselung schlagen fehl.
Informationen zum Erstellen des Themas gcr
mit CMEK-Verschlüsselung finden Sie in der Pub/Sub-Anleitung zum Verschlüsseln von Themen.
Buckets für die Verwendung von CMEK konfigurieren
Container Registry ist nicht direkt in Cloud KMS eingebunden. Stattdessen ist es CMEK-konform, wenn Sie Ihre Container-Images in Speicher-Buckets speichern, die für die Verwendung von CMEK konfiguriert sind.
Ist dies nicht der Fall, übertragen Sie ein Image an Container Registry. Für den Storage-Bucket wird noch kein CMEK-Schlüssel verwendet.
Konfigurieren Sie in Cloud Storage den Storage-Bucket für die Verwendung des CMEK-Schlüssels.
Der Bucket-Name für einen Registry-Host hat eines der folgenden Formate:
artifacts.PROJECT-ID.appspot.com
für Images, die auf dem Hostgcr.io
gespeichert sindSTORAGE-REGION.artifacts.PROJECT-ID.appspot.com
für Images, die inasia.gcr.io
,eu.gcr.io
oderus.gcr.io
gespeichert sind.
Nächste Schritte
- Weitere Informationen zum Thema Container Registry-Images verwalten.
- Weitere Informationen zu CMEK
- Weitere Informationen zu Cloud Storage