Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden

Container Registry speichert Container-Images in Cloud Storage. Cloud Storage verschlüsselt Ihre Daten immer auf der Serverseite.

Wenn Sie Compliance- oder behördliche Anforderungen erfüllen müssen, können Sie Ihre Container-Images mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln. CMEK-Schlüssel werden im Cloud Key Management Service verwaltet. Wenn Sie CMEK verwenden, können Sie den Zugriff auf ein verschlüsseltes Container-Image vorübergehend oder dauerhaft deaktivieren, indem Sie den Schlüssel deaktivieren oder löschen.

Einschränkungen für Organisationsrichtlinien

Einschränkungen für Organisationsrichtlinien können sich auf die Nutzung von Container Registry auswirken, wenn sie für Dienste gelten, die von Container Registry verwendet werden.

Einschränkungen für Storage-Buckets

  • Wenn sich die Cloud Storage API in der Richtlinienliste Deny für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, können Sie keine Images in Container Registry hochladen. Container Registry verwendet CMEK nicht zum Erstellen von Storage-Buckets, wenn das erste Image an einen Host übertragen wird. Sie können die Storage-Buckets nicht manuell erstellen.

    Wenn Sie diese Einschränkung der Organisationsrichtlinie erzwingen müssen, sollten Sie die Images stattdessen in Artifact Registry hosten. Sie können manuell Repositories in Artifact Registry erstellen, die Anfragen an die Domain gcr.io unterstützen, sodass Sie weiterhin Ihre vorhandenen Container-Image-Workflows verwenden können. Weitere Informationen finden Sie unter Auf Repositories mit gcr.io-Domainsupport umstellen.

  • Wenn constraints/gcp.restrictCmekCryptoKeyProjects konfiguriert ist, müssen Storage-Buckets mit einem CryptoKey aus einem zulässigen Projekt, Ordner oder einer zulässigen Organisation verschlüsselt werden. Neue Buckets verwenden den konfigurierten Schlüssel. Vorhandene Buckets, die nicht konform sind, müssen jedoch so konfiguriert werden, dass sie standardmäßig den erforderlichen Schlüssel verwenden.

Weitere Informationen zur Anwendung von Einschränkungen auf Cloud Storage-Buckets finden Sie in der Cloud Storage-Dokumentation zu Einschränkungen.

Einschränkungen für Pub/Sub-Themen

Wenn Sie die Container Registry API in einem Google Cloud-Projekt aktivieren, versucht Container Registry, mithilfe von von Google verwalteten Verschlüsselungsschlüsseln automatisch ein Pub/Sub-Thema mit der Themen-ID gcr zu erstellen.

Wenn sich die Pub/Sub API in der Richtlinienliste Deny für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, müssen Themen mit CMEK verschlüsselt werden. Anfragen zum Erstellen eines Themas ohne CMEK-Verschlüsselung schlagen fehl.

Informationen zum Erstellen des Themas gcr mit CMEK-Verschlüsselung finden Sie in der Pub/Sub-Anleitung zum Verschlüsseln von Themen.

Buckets für die Verwendung von CMEK konfigurieren

Container Registry ist nicht direkt in Cloud KMS eingebunden. Stattdessen ist es CMEK-konform, wenn Sie Ihre Container-Images in Speicher-Buckets speichern, die für die Verwendung von CMEK konfiguriert sind.

  1. Ist dies nicht der Fall, übertragen Sie ein Image an Container Registry. Für den Storage-Bucket wird noch kein CMEK-Schlüssel verwendet.

  2. Konfigurieren Sie in Cloud Storage den Storage-Bucket für die Verwendung des CMEK-Schlüssels.

Der Bucket-Name für einen Registry-Host hat eines der folgenden Formate:

  • artifacts.PROJECT-ID.appspot.com für Images, die auf dem Host gcr.io gespeichert sind
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com für Images, die in asia.gcr.io, eu.gcr.io oder us.gcr.io gespeichert sind.

Nächste Schritte