顧客管理の暗号鍵の使用

Container Registry は、コンテナ イメージを Cloud Storage に保存します。Cloud Storage は常にサーバー側でデータを暗号化します

コンプライアンス要件または規制要件がある場合は、顧客管理の暗号鍵(CMEK)を使用してコンテナ イメージを暗号化できます。CMEK 鍵は Cloud Key Management Service で管理されます。CMEK を使用する場合、鍵を無効化または破棄することで、暗号化されたコンテナ イメージへのアクセスを一時停止または恒久的に無効にできます。

組織ポリシーの制約

組織のポリシーの制約が、Container Registry が使用するサービスに適用される場合、Container Registry の使用に影響を与える可能性があります

ストレージ バケットの制約

  • Cloud Storage API が制約 constraints/gcp.restrictNonCmekServicesDeny ポリシーリストに含まれている場合、イメージを Container Registry に push できません。Container Registry は、最初のイメージがホストに push されたときに CMEK を使用してストレージ バケットを作成しません。また、ストレージ バケットを手動で作成することもできません。

    この組織のポリシーの制約を適用する必要がある場合は、代わりに Artifact Registry でイメージをホストすることを検討してください。gcr.io ドメインへのリクエストをサポートするリポジトリを Artifact Registry に手動で作成すると、既存のコンテナ イメージ ワークフローを継続して使用できます。詳細については、gcr.io ドメインをサポートするリポジトリに移行するをご覧ください。

  • constraints/gcp.restrictCmekCryptoKeyProjects が構成されている場合は、許可されたプロジェクト、フォルダ、または組織の CryptoKey を使用してストレージ バケットを暗号化する必要があります。新しいバケットは構成された鍵を使用しますが、準拠していない既存のバケットは、デフォルトで必要な鍵を使用するように構成する必要があります。

制約が Cloud Storage バケットに適用される方法の詳細については、制約に関する Cloud Storage のドキュメントをご覧ください。

Pub/Sub トピックの制約

Google Cloud プロジェクトで Container Registry API を有効にすると、Container Registry は Google が管理する暗号鍵を使用して、トピック ID が gcr である Pub/Sub トピックを自動的に作成しようとします。

Pub/Sub API が制約 constraints/gcp.restrictNonCmekServicesDeny ポリシーリストに含まれている場合、トピックは CMEK で暗号化する必要があります。CMEK 暗号化なしでトピックを作成するためのリクエストは失敗します。

CMEK 暗号化を使用して gcr トピックを作成するには、Pub/Sub のトピックを暗号化する手順をご覧ください。

CMEK を使用するようにバケットを構成する

Container Registry は Cloud KMS と直接統合されていません。代わりに Container Registry は、コンテナ イメージを CMEK を使用するよう設定したストレージ バケットに保存する場合、CMEK 準拠となります。

  1. まだ行っていない場合は、イメージを Container Registry に push します。 ストレージ バケットはまだ CMEK 鍵を使用していません。

  2. Cloud Storage で、CMEK 鍵を使用するようにストレージ バケットを設定します。

レジストリ ホストのバケット名は、次のいずれかの形式になります。

  • artifacts.PROJECT-ID.appspot.com(イメージがホスト gcr.io に保存されている場合)
  • asia.gcr.ioeu.gcr.ious.gcr.io に保存されているイメージの場合は STORAGE-REGION.artifacts.PROJECT-ID.appspot.com

次のステップ