Utiliser les clés de chiffrement gérées par le client

Container Registry stocke des images de conteneurs dans Cloud Storage, lequel chiffre toujours vos données côté serveur.

Si vous avez des exigences de conformité ou réglementaires, vous pouvez chiffrer vos images de conteneurs à l'aide de clés de chiffrement gérées par le client (CMEK). Les clés CMEK sont gérées dans Cloud Key Management Service. Lorsque vous utilisez la fonctionnalité CMEK, vous pouvez désactiver temporairement ou définitivement l'accès à une image de conteneur chiffrée en désactivant ou en détruisant la clé.

Contraintes liées aux règles d'administration

Les contraintes de règle d'administration peuvent affecter l'utilisation de Container Registry lorsqu'elles s'appliquent aux services utilisés par Container Registry.

Contraintes concernant les buckets de stockage

• Lorsque l'API Cloud Storage figure dans la liste de règles Deny pour la contrainte constraints/gcp.restrictNonCmekServices, vous ne pouvez pas transférer d'images vers Container Registry. Container Registry n'utilise pas CMEK pour créer des buckets de stockage lorsque la première image est transférée vers un hôte, et vous ne pouvez pas créer les buckets de stockage manuellement.

  Si vous devez appliquer cette contrainte de règle d'administration, envisagez d'héberger vos images dans Artifact Registry. Vous pouvez créer manuellement des dépôts dans Artifact Registry compatibles avec les requêtes au domaine gcr.io afin de continuer à utiliser vos workflows d'images de conteneur existants. Pour en savoir plus, consultez la section Passer aux dépôts avec prise en charge du domaine gcr.io.

• Lorsque constraints/gcp.restrictCmekCryptoKeyProjects est configuré, les buckets de stockage doivent être chiffrés avec une CryptoKey provenant d'un projet, d'un dossier ou d'une organisation autorisés. Les nouveaux buckets utiliseront la clé configurée, mais les buckets existants non conformes doivent être configurés pour utiliser la clé requise par défaut.

Pour en savoir plus sur l'application des contraintes aux buckets Cloud Storage, consultez la documentation Cloud Storage sur les contraintes.

Contraintes pour les sujets Pub/Sub

Lorsque vous activez l'API Container Registry dans un projet Google Cloud, Container Registry tente de créer automatiquement une rubrique Pub/Sub avec l'ID de rubrique gcr à l'aide de clés de chiffrement gérées par Google.

Lorsque l'API Pub/Sub figure dans la liste de règles Deny pour la contrainte constraints/gcp.restrictNonCmekServices, les sujets doivent être chiffrés avec CMEK. Les requêtes de création d'un sujet sans chiffrement CMEK échoueront.

Pour créer le sujet gcr avec le chiffrement CMEK, consultez les instructions Pub/Sub pour chiffrer les sujets.

Configurer des buckets pour utiliser CMEK

Container Registry n'est pas directement intégré à Cloud KMS. Au lieu de cela, il est compatible avec CMEK lorsque vous stockez vos images de conteneurs dans des buckets de stockage configurés pour utiliser CMEK.

1. Si vous ne l'avez pas déjà fait, transférez une image vers Container Registry. Le bucket de stockage n'utilise pas encore de clé CMEK.

2. Dans Cloud Storage, configurez le bucket de stockage pour utiliser la clé CMEK.

Le nom du bucket d'un hôte de registre se présente sous l'un des formats suivants:

• artifacts.PROJECT-ID.appspot.com pour les images stockées sur l'hôte gcr.io
• STORAGE-REGION.artifacts.PROJECT-ID.appspot.com pour les images stockées sur asia.gcr.io, eu.gcr.io ou us.gcr.io.

Étape suivante

• En savoir plus sur la gestion des images Container Registry.
• Apprenez-en davantage sur CMEK
• En savoir plus sur Cloud Storage