Usa claves de encriptación administradas por el cliente

Container Registry almacena imágenes de contenedor en Cloud Storage. Cloud Storage siempre encripta tus datos en el lado del servidor.

Si tienes requisitos normativos o de cumplimiento, puedes encriptar tus imágenes de contenedor mediante las claves de encriptación administradas por el cliente (CMEK). Las claves CMEK se administran en Cloud Key Management Service. Cuando usas CMEK, mediante la inhabilitación o destrucción de la clave puedes inhabilitar de forma temporal o permanente el acceso a una imagen de contenedor encriptada.

Restricciones de las políticas de la organización

Las restricciones de las políticas de la organización pueden afectar el uso de Container Registry cuando se aplican a los servicios que usa Container Registry.

Restricciones para los buckets de almacenamiento

  • Cuando la API de Cloud Storage se encuentra en la lista de políticas Deny para la restricción constraints/gcp.restrictNonCmekServices, no puedes enviar imágenes a Container Registry. Container Registry no usa CMEK para crear buckets de almacenamiento cuando la primera imagen se envía a un host. Además, no puedes crearlos de forma manual.

    Si necesitas aplicar esta restricción de la política de la organización, considera alojar tus imágenes en Artifact Registry. Puedes crear repositorios de forma manual en Artifact Registry que admitan solicitudes al dominio gcr.io para que puedas seguir usando los flujos de trabajo de imágenes de contenedor existentes. Para obtener más detalles, consulta Transición a repositorios compatible con el dominio gcr.io.

  • Cuando se configura constraints/gcp.restrictCmekCryptoKeyProjects, los buckets de almacenamiento se deben encriptar con una CryptoKey de una organización, carpeta o proyecto permitido. Los buckets nuevos usarán la clave configurada, pero los buckets existentes que no cumplan con los requisitos se deben configurar para usar la clave requerida de forma predeterminada.

Para obtener más información sobre cómo se aplican las restricciones a los buckets de Cloud Storage, consulta la documentación de Cloud Storage sobre las restricciones.

Restricciones para temas de Pub/Sub

Cuando activas la API de Container Registry en un proyecto de Google Cloud, Container Registry intenta crear automáticamente un tema de Pub/Sub con el ID del tema gcr mediante claves de encriptación administradas por Google.

Cuando la API de Pub/Sub se encuentra en la lista de políticas de Deny para la restricción constraints/gcp.restrictNonCmekServices, los temas deben encriptarse con CMEK. Las solicitudes para crear un tema sin encriptación con CMEK fallarán.

Si deseas crear el tema gcr con la encriptación con CMEK, consulta las instrucciones de Pub/Sub para encriptar temas.

Configura buckets para usar CMEK

Container Registry no está integrado de forma directa en Cloud KMS. En su lugar, es compatible con CMEK cuando almacenas tus imágenes de contenedor en depósitos de almacenamiento configurados para usar CMEK.

  1. Si no lo hiciste, envía una imagen a Container Registry. El bucket de almacenamiento aún no usa una clave CMEK.

  2. En Cloud Storage, configura el bucket de almacenamiento para usar la clave CMEK.

El nombre del bucket para un host de registro tiene uno de los siguientes formatos:

  • artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en el host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para imágenes almacenadas en asia.gcr.io, eu.gcr.io o us.gcr.io

Próximos pasos