Artifact Registry es el servicio recomendado para administrar imágenes de contenedor. Container Registry sigue siendo compatible, pero solo recibirá correcciones de seguridad críticas. Obtén más información sobre la transición a Artifact Registry.

Usa claves de encriptación administradas por el cliente

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Container Registry almacena imágenes de contenedor en Cloud Storage. Cloud Storage siempre encripta tus datos en el lado del servidor.

Si tienes requisitos normativos o de cumplimiento, puedes encriptar tus imágenes de contenedor mediante las claves de encriptación administradas por el cliente (CMEK). Las claves CMEK se administran en Cloud Key Management Service. Cuando usas CMEK, mediante la inhabilitación o destrucción de la clave puedes inhabilitar de forma temporal o permanente el acceso a una imagen de contenedor encriptada.

Limitaciones de las políticas de la organización

Las restricciones de las políticas de la organización pueden afectar el uso de Container Registry cuando se aplican a los servicios que usa Container Registry.

Restricciones para depósitos de almacenamiento

  • Cuando la API de Cloud Storage está en la lista de políticas de Deny para la restricción constraints/gcp.restrictNonCmekServices, no puedes enviar imágenes a Container Registry si los depósitos de almacenamiento subyacentes no están encriptados con CMEK.

  • Cuando se configura constraints/gcp.restrictCmekCryptoKeyProjects, los depósitos de almacenamiento deben encriptarse con una CryptoKey de un proyecto, una carpeta o una organización permitidos. Los depósitos nuevos usarán la clave configurada, pero los depósitos existentes que no cumplan con la política deben configurarse para usar la clave requerida de forma predeterminada.

Para obtener más información sobre cómo se aplican las restricciones a los depósitos de Cloud Storage, consulta la documentación de Cloud Storage sobre las restricciones.

Restricciones para temas de Pub/Sub

Cuando activas la API de Container Registry en un proyecto de Google Cloud, Container Registry intenta crear de forma automática un tema de Pub/Sub con el ID del tema gcr mediante claves de encriptación administradas por Google.

Cuando la API de Pub/Sub está en la lista de políticas Deny para la restricción constraints/gcp.restrictNonCmekServices, los temas deben encriptarse con CMEK. Las solicitudes para crear un tema sin encriptación CMEK fallarán.

A fin de crear el tema gcr con encriptación de CMEK, consulta las instrucciones para encriptar temas.

Configura depósitos para usar CMEK

Container Registry no está integrado de forma directa en Cloud KMS. En su lugar, es compatible con CMEK cuando almacenas tus imágenes de contenedor en depósitos de almacenamiento configurados para usar CMEK.

  1. Si aún no lo hiciste, envía una imagen a Container Registry. El bucket de almacenamiento aún no usa una clave CMEK.

  2. En Cloud Storage, configura el bucket de almacenamiento para usar la clave CMEK.

El nombre del bucket para un host de registro tiene uno de los siguientes formatos:

  • artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en el host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para las imágenes almacenadas en asia.gcr.io, eu.gcr.io o us.gcr.io

Próximos pasos