Usar claves de encriptación administradas por el cliente

Container Registry almacena imágenes de contenedor en Cloud Storage. Cloud Storage siempre encripta tus datos en el lado del servidor.

Si tienes requisitos normativos o de cumplimiento, puedes encriptar tus imágenes de contenedor mediante las claves de encriptación administradas por el cliente (CMEK). Las claves CMEK se administran en Cloud Key Management Service. Cuando usas CMEK, mediante la inhabilitación o destrucción de la clave puedes inhabilitar de forma temporal o permanente el acceso a una imagen de contenedor encriptada.

Restricciones de las políticas de la organización

Las restricciones de las políticas de la organización pueden afectar el uso de Container Registry cuando se aplican a los servicios que usa este servicio.

Restricciones para los buckets de almacenamiento

  • Cuando la API de Cloud Storage está en la lista de políticas Deny para la restricción constraints/gcp.restrictNonCmekServices, no puedes enviar imágenes a Container Registry. Container Registry no usa CMEK para crear buckets de almacenamiento cuando se envía la primera imagen a un host, y no puedes crear los buckets de almacenamiento de forma manual.

    Si necesitas aplicar esta restricción de la política de la organización, considera alojar tus imágenes en Artifact Registry. Puedes crear repositorios manualmente en Artifact Registry que admitan solicitudes al dominio gcr.io para que puedas seguir usando tus flujos de trabajo de imágenes de contenedor existentes. Para obtener más información, consulta Transición a repositorios con compatibilidad con dominios gcr.io.

  • Cuando se configura constraints/gcp.restrictCmekCryptoKeyProjects, los buckets de almacenamiento se deben encriptar con una CryptoKey de una organización, carpeta o proyecto permitidos. Los buckets nuevos usarán la clave configurada, pero los buckets existentes que no sean compatibles deben configurarse para usar la clave requerida de forma predeterminada.

Para obtener más información sobre cómo se aplican las restricciones a los buckets de Cloud Storage, consulta la documentación de Cloud Storage sobre las restricciones.

Restricciones para los temas de Pub/Sub

Cuando activas la API de Container Registry en un proyecto de Google Cloud, Container Registry intenta crear automáticamente un tema de Pub/Sub con el ID de tema gcr usando claves de encriptación administradas por Google.

Cuando la API de Pub/Sub está en la lista de políticas Deny de la restricción constraints/gcp.restrictNonCmekServices, los temas deben encriptarse con CMEK. Las solicitudes para crear un tema sin encriptación de CMEK fallarán.

Para crear el tema gcr con encriptación de CMEK, consulta las instrucciones de Pub/Sub para encriptar temas.

Configura buckets para usar CMEK

Container Registry no está integrado de forma directa en Cloud KMS. En su lugar, es compatible con CMEK cuando almacenas tus imágenes de contenedor en depósitos de almacenamiento configurados para usar CMEK.

  1. Si aún no lo hiciste, envía una imagen a Container Registry. El bucket de almacenamiento aún no usa una clave CMEK.

  2. En Cloud Storage, configura el depósito de almacenamiento para usar la clave CMEK.

El nombre del bucket de un host de registro tiene uno de los siguientes formatos:

  • artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en el host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para imágenes almacenadas en asia.gcr.io, eu.gcr.io o us.gcr.io.

Próximos pasos