Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden

Container Registry speichert Container-Images in Cloud Storage. Cloud Storage verschlüsselt Ihre Daten immer auf der Serverseite.

Wenn Sie Compliance- oder behördliche Anforderungen erfüllen müssen, können Sie Ihre Container-Images mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln. CMEK-Schlüssel werden im Cloud Key Management Service verwaltet. Wenn Sie CMEK verwenden, können Sie den Zugriff auf ein verschlüsseltes Container-Image vorübergehend oder dauerhaft deaktivieren, indem Sie den Schlüssel deaktivieren oder löschen.

Container Registry ist nicht direkt in Cloud KMS eingebunden. Stattdessen ist es CMEK-konform, wenn Sie Ihre Container-Images in Speicher-Buckets speichern, die für die Verwendung von CMEK konfiguriert sind.

  1. Ist dies nicht der Fall, übertragen Sie ein Image an Container Registry. Für den Storage-Bucket wird noch kein CMEK-Schlüssel verwendet.

  2. Konfigurieren Sie in Cloud Storage den Storage-Bucket für die Verwendung des CMEK-Schlüssels.

Weitere Informationen