Artifact Registry è il servizio consigliato per la gestione delle immagini container. Container Registry è ancora supportato, ma riceverà solo correzioni di sicurezza critiche. Scopri come passare ad Artifact Registry.

Utilizzo delle chiavi di crittografia gestite dal cliente

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Container Registry archivia le immagini container in Cloud Storage. Cloud Storage cripta sempre i dati sul lato server.

Se hai requisiti di conformità o normativi, puoi criptare le immagini container usando le chiavi di crittografia gestite dal cliente (CMEK). Le chiavi CMEK sono gestite in Cloud Key Management Service. Quando utilizzi CMEK, puoi disabilitare temporaneamente o definitivamente l'accesso a un'immagine container criptata disabilitando o distruggendo la chiave.

Vincoli dei criteri dell'organizzazione

I vincoli dei criteri dell'organizzazione possono influire sull'utilizzo di Container Registry quando si applicano ai servizi usati da Container Registry

vincoli per i bucket di archiviazione

  • Quando l'API Cloud Storage si trova nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, non puoi eseguire il push delle immagini a Container Registry se i bucket di archiviazione sottostanti non sono criptati con CMEK.

  • Quando è configurato constraints/gcp.restrictCmekCryptoKeyProjects, i bucket di archiviazione devono essere criptati con una CryptoKey da un progetto, una cartella o un'organizzazione consentiti. I nuovi bucket utilizzeranno la chiave configurata, ma i bucket esistenti non conformi devono essere configurati in modo da utilizzare la chiave obbligatoria per impostazione predefinita.

Per ulteriori informazioni su come i vincoli si applicano ai bucket Cloud Storage, consulta la documentazione di Cloud Storage sui vincoli.

vincoli per gli argomenti Pub/Sub

Quando attivi l'API Container Registry in un progetto Google Cloud, Container Registry tenta di creare automaticamente un argomento Pub/Sub con l'ID argomento gcr utilizzando chiavi di crittografia gestite da Google.

Quando l'API Pub/Sub si trova nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, gli argomenti devono essere criptati con CMEK. Le richieste per creare un argomento senza crittografia CMEK non andranno a buon fine.

Per creare l'argomento gcr con crittografia CMEK, consulta le istruzioni per la crittografia degli argomenti in Pub/Sub.

Configurazione dei bucket per l'utilizzo di CMEK

Container Registry non è integrato direttamente con Cloud KMS. È invece compatibile con CMEK quando archivi le immagini del container nei bucket di archiviazione configurati per l'utilizzo di CMEK.

  1. Se non lo hai ancora fatto, invia un'immagine a Container Registry. Il bucket di archiviazione non utilizza ancora una chiave CMEK.

  2. In Cloud Storage, configura il bucket di archiviazione in modo da utilizzare la chiave CMEK.

Il nome del bucket per un host del registry ha uno dei seguenti formati:

  • artifacts.PROJECT-ID.appspot.com per le immagini archiviate sull'host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com per le immagini archiviate su asia.gcr.io, eu.gcr.io o us.gcr.io.

Quali sono i passaggi successivi?