Artifact Registry ist der empfohlene Dienst zum Verwalten von Container-Images. Container Registry wird weiterhin unterstützt, erhält aber nur kritische Sicherheitsupdates. Informationen zur Umstellung auf Artifact Registry.

Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Container Registry speichert Container-Images in Cloud Storage. Cloud Storage verschlüsselt Ihre Daten immer auf der Serverseite.

Wenn Sie Compliance- oder behördliche Anforderungen erfüllen müssen, können Sie Ihre Container-Images mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln. CMEK-Schlüssel werden im Cloud Key Management Service verwaltet. Wenn Sie CMEK verwenden, können Sie den Zugriff auf ein verschlüsseltes Container-Image vorübergehend oder dauerhaft deaktivieren, indem Sie den Schlüssel deaktivieren oder löschen.

Einschränkungen für Organisationsrichtlinien

Einschränkungen für Organisationsrichtlinien können sich auf die Nutzung von Container Registry auswirken, wenn sie auf Dienste angewendet werden, die von Container Registry verwendet werden.

Einschränkungen für Storage-Buckets

  • Wenn sich die Cloud Storage API in der Deny-Richtlinienliste für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, können Sie keine Images in Container Registry hochladen, wenn die zugrunde liegenden Storage-Buckets nicht mit CMEK verschlüsselt sind.

  • Wenn constraints/gcp.restrictCmekCryptoKeyProjects konfiguriert ist, müssen Storage-Buckets mit einem CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation verschlüsselt werden. Neue Buckets verwenden den konfigurierten Schlüssel, aber vorhandene Buckets, die nicht konform sind, müssen so konfiguriert sein, dass sie den erforderlichen Schlüssel standardmäßig verwenden.

Weitere Informationen zur Anwendung von Einschränkungen auf Cloud Storage-Buckets finden Sie in der Cloud Storage-Dokumentation zu Einschränkungen.

Einschränkungen für Pub/Sub-Themen

Wenn Sie die Container Registry API in einem Google Cloud-Projekt aktivieren, versucht Container Registry mithilfe der von Google verwalteten Verschlüsselungsschlüsseln automatisch ein Pub/Sub-Thema mit der Themen-ID gcr zu erstellen.

Wenn sich die Pub/Sub API in der Richtlinienliste Deny für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, müssen Themen mit CMEK verschlüsselt werden. Anfragen zum Erstellen eines Themas ohne CMEK-Verschlüsselung schlagen fehl.

Informationen zum Erstellen des Themas gcr mit CMEK-Verschlüsselung finden Sie in der Pub/Sub-Anleitung zum Verschlüsseln von Themen.

Buckets für die Verwendung von CMEK konfigurieren

Container Registry ist nicht direkt in Cloud KMS eingebunden. Stattdessen ist es CMEK-konform, wenn Sie Ihre Container-Images in Speicher-Buckets speichern, die für die Verwendung von CMEK konfiguriert sind.

  1. Ist dies nicht der Fall, übertragen Sie ein Image an Container Registry. Für den Storage-Bucket wird noch kein CMEK-Schlüssel verwendet.

  2. Konfigurieren Sie in Cloud Storage den Storage-Bucket für die Verwendung des CMEK-Schlüssels.

Der Bucket-Name für einen Registry-Host hat eines der folgenden Formate:

  • artifacts.PROJECT-ID.appspot.com für Images, die auf dem Host gcr.io gespeichert sind
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für Images, die auf asia.gcr.io, eu.gcr.io oder us.gcr.io gespeichert sind.

Nächste Schritte