Utilizzo delle chiavi di crittografia gestite dal cliente

Container Registry archivia le immagini container in Cloud Storage. Cloud Storage cripta sempre i dati sul lato server.

Se hai requisiti di conformità o normativi, puoi criptare le immagini dei container utilizzando chiavi di crittografia gestite dal cliente (CMEK). Le chiavi CMEK sono gestite in Cloud Key Management Service. Quando utilizzi CMEK, puoi disabilitare temporaneamente o definitivamente l'accesso a un'immagine container criptata disattivando o distruggendo la chiave.

Vincoli dei criteri dell'organizzazione

I limiti dei criteri dell'organizzazione possono influire sull'utilizzo di Container Registry quando si applicano ai servizi utilizzati da Container Registry.

Vincoli per i bucket di archiviazione

  • Se l'API Cloud Storage si trova nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, non puoi eseguire il push delle immagini in Container Registry. Container Registry non utilizza una CMEK per creare bucket di archiviazione quando viene eseguito il push della prima immagine su un host e non puoi creare i bucket di archiviazione manualmente.

    Se devi applicare questo vincolo del criterio dell'organizzazione, valuta la possibilità di ospitare le tue immagini in Artifact Registry. In Artifact Registry puoi creare manualmente repository che supportano le richieste al dominio gcr.io in modo da poter continuare a utilizzare i flussi di lavoro esistenti per le immagini container. Per maggiori dettagli, consulta Transizione ai repository con supporto per il dominio gcr.io.

  • Se constraints/gcp.restrictCmekCryptoKeyProjects è configurato, i bucket di archiviazione devono essere criptati con una CryptoKey di un progetto, una cartella o un'organizzazione consentiti. I nuovi bucket utilizzeranno la chiave configurata, ma i bucket esistenti non conformi devono essere configurati in modo da utilizzare la chiave richiesta per impostazione predefinita.

Per ulteriori informazioni su come si applicano i vincoli ai bucket Cloud Storage, consulta la documentazione di Cloud Storage sui vincoli.

Vincoli per gli argomenti Pub/Sub

Quando attivi l'API Container Registry in un progetto Google Cloud, Container Registry tenta di creare automaticamente un argomento Pub/Sub con ID argomento gcr utilizzando chiavi di crittografia gestite da Google.

Quando l'API Pub/Sub si trova nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, gli argomenti devono essere criptati con CMEK. Le richieste per creare un argomento senza crittografia CMEK non andranno a buon fine.

Per creare l'argomento gcr con la crittografia CMEK, consulta le istruzioni di Pub/Sub per la crittografia degli argomenti.

Configurazione dei bucket per l'utilizzo di CMEK

Container Registry non è integrato direttamente con Cloud KMS. Invece, è compatibile con CMEK quando archivi le immagini container in bucket di archiviazione configurati per utilizzare CMEK.

  1. Se non lo hai già fatto, esegui il push di un'immagine a Container Registry. Il bucket di archiviazione non utilizza ancora una chiave CMEK.

  2. In Cloud Storage, configura il bucket di archiviazione per utilizzare la chiave CMEK.

Il nome del bucket di un host del registry ha uno dei seguenti formati:

  • artifacts.PROJECT-ID.appspot.com per le immagini archiviate sull'host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com per le immagini archiviate su asia.gcr.io, eu.gcr.io o us.gcr.io.

Che cosa succede dopo?