Usar claves de encriptado gestionadas por el cliente

Container Registry almacena imágenes de contenedor en Cloud Storage. Cloud Storage siempre encripta los datos del lado del servidor.

Si tienes requisitos de cumplimiento o normativos, puedes encriptar tus imágenes de contenedor con claves de encriptado gestionadas por el cliente (CMEK). Las claves CMEK se gestionan en Cloud Key Management Service. Cuando usas CMEK, puedes inhabilitar temporal o permanentemente el acceso a una imagen de contenedor cifrada inhabilitando o destruyendo la clave.

Restricciones de las políticas de organización

Las restricciones de las políticas de la organización pueden afectar al uso de Container Registry cuando se aplican a los servicios que utiliza Container Registry.

Restricciones de los segmentos de almacenamiento

  • Si la API de Cloud Storage está en la lista de políticas de Deny de la restricción constraints/gcp.restrictNonCmekServices, no podrás enviar imágenes a Container Registry. Container Registry no usa CMEK para crear segmentos de almacenamiento cuando se envía la primera imagen a un host, y no puedes crear los segmentos de almacenamiento manualmente.

    Si necesitas aplicar esta restricción de la política de la organización, considera la posibilidad de alojar tus imágenes en Artifact Registry. Puedes crear manualmente repositorios en Artifact Registry que admitan solicitudes al dominio gcr.io para seguir usando tus flujos de trabajo de imágenes de contenedor. Para obtener más información, consulta Migrar a repositorios compatibles con el dominio gcr.io.

  • Cuando se configura constraints/gcp.restrictCmekCryptoKeyProjects, los contenedores de almacenamiento deben cifrarse con una CryptoKey de un proyecto, una carpeta o una organización permitidos. Los nuevos contenedores usarán la clave configurada, pero los contenedores que no cumplan los requisitos deberán configurarse para usar la clave obligatoria de forma predeterminada.

Para obtener más información sobre cómo se aplican las restricciones a los segmentos de Cloud Storage, consulta la documentación de Cloud Storage sobre las restricciones.

Restricciones de los temas de Pub/Sub

Cuando activas la API Container Registry en unGoogle Cloud proyecto, Container Registry intenta crear automáticamente un tema de Pub/Sub con el ID de tema gcr mediante claves de cifrado gestionadas por Google.

Cuando la API Pub/Sub se encuentra en la lista de políticas Deny de la restricción constraints/gcp.restrictNonCmekServices, los temas deben cifrarse con CMEK. No se podrán crear temas sin encriptado CMEK.

Para crear el tema gcr con el cifrado CMEK, consulta las instrucciones para cifrar temas de Pub/Sub.

Configurar segmentos para usar CMEK

Container Registry no está integrado directamente con Cloud KMS. En su lugar, se considera compatible con CMEK cuando almacenas tus imágenes de contenedor en segmentos de almacenamiento configurados para usar CMEK.

  1. Si no lo has hecho, envía una imagen a Container Registry. El segmento de almacenamiento aún no usa una clave CMEK.

  2. En Cloud Storage, configura el segmento de almacenamiento para que use la clave CMEK.

El nombre del segmento de un host de registro tiene uno de los siguientes formatos:

  • artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en el host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en asia.gcr.io, eu.gcr.io o us.gcr.io.

Siguientes pasos