Menggunakan kunci enkripsi yang dikelola pelanggan

Container Registry menyimpan image container di Cloud Storage. Cloud Storage selalu mengenkripsi data Anda di sisi server.

Jika memiliki persyaratan kepatuhan atau peraturan, Anda dapat mengenkripsi image container menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci CMEK dikelola di Cloud Key Management Service. Saat menggunakan CMEK, Anda dapat menonaktifkan akses ke image container terenkripsi untuk sementara atau secara permanen dengan menonaktifkan atau menghancurkan kunci tersebut.

Batasan kebijakan organisasi

Batasan kebijakan organisasi dapat memengaruhi penggunaan Container Registry jika berlaku untuk layanan yang digunakan Container Registry.

Batasan untuk bucket penyimpanan

  • Jika Cloud Storage API berada dalam daftar kebijakan Deny untuk constraints/gcp.restrictNonCmekServices batasan, Anda tidak dapat mengirim image ke Container Registry. Container Registry tidak menggunakan CMEK untuk membuat bucket penyimpanan saat image pertama dikirim ke host, dan Anda tidak dapat membuat bucket penyimpanan secara manual.

    Jika Anda perlu menerapkan batasan kebijakan organisasi ini, sebaiknya hosting image di Artifact Registry. Anda dapat membuat repositori secara manual di Artifact Registry yang mendukung permintaan ke domain gcr.io sehingga Anda dapat terus menggunakan alur kerja image container yang ada. Untuk mengetahui detailnya, lihat Bertransisi ke repositori dengan dukungan domain gcr.io.

  • Saat constraints/gcp.restrictCmekCryptoKeyProjects dikonfigurasi, bucket penyimpanan harus dienkripsi dengan CryptoKey dari project, folder, atau organisasi yang diizinkan. Bucket baru akan menggunakan kunci yang dikonfigurasi, tetapi bucket yang sudah ada dan tidak mematuhi kebijakan harus dikonfigurasi untuk menggunakan kunci yang diperlukan secara default.

Untuk mengetahui informasi selengkapnya tentang cara batasan diterapkan ke bucket Cloud Storage, lihat dokumentasi Cloud Storage tentang batasan.

Batasan untuk topik Pub/Sub

Saat Anda mengaktifkan Container Registry API di project Google Cloud, Container Registry akan mencoba membuat topik Pub/Sub dengan ID topik gcr secara otomatis menggunakan kunci enkripsi yang dikelola Google.

Jika Pub/Sub API ada dalam daftar kebijakan Deny untuk batasan constraints/gcp.restrictNonCmekServices, topik harus dienkripsi dengan CMEK. Permintaan untuk membuat topik tanpa enkripsi CMEK akan gagal.

Untuk membuat topik gcr dengan enkripsi CMEK, lihat petunjuk untuk mengenkripsi topik Pub/Sub.

Mengonfigurasi bucket untuk menggunakan CMEK

Container Registry tidak terintegrasi langsung dengan Cloud KMS. Sebagai gantinya, image container sesuai dengan CMEK jika Anda menyimpannya di bucket penyimpanan yang dikonfigurasi untuk menggunakan CMEK.

  1. Jika Anda belum melakukannya, kirim image ke Container Registry. Bucket penyimpanan belum menggunakan kunci CMEK.

  2. Di Cloud Storage, konfigurasi bucket penyimpanan untuk menggunakan kunci CMEK.

Nama bucket untuk host registry memiliki salah satu format berikut:

  • artifacts.PROJECT-ID.appspot.com untuk gambar yang disimpan di host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com untuk gambar yang disimpan di asia.gcr.io, eu.gcr.io, atau us.gcr.io.

Apa langkah selanjutnya?