Artifact Registry は、コンテナ イメージを管理するための推奨サービスです。Container Registry のサポートは継続されますが、重要なセキュリティ修正のみが適用されます。Artifact Registry への移行については、こちらをご覧ください

顧客管理の暗号鍵の使用

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Container Registry は、コンテナ イメージを Cloud Storage に保存します。Cloud Storage は常にサーバー側でデータを暗号化します

コンプライアンス要件または規制要件がある場合は、顧客管理の暗号鍵(CMEK)を使用してコンテナ イメージを暗号化できます。CMEK 鍵は Cloud Key Management Service で管理されます。CMEK を使用する場合、鍵を無効化または破棄することで、暗号化されたコンテナ イメージへのアクセスを一時停止または恒久的に無効にできます。

組織ポリシーの制約

組織のポリシーの制約が、Container Registry が使用するサービスに適用される場合、Container Registry の使用に影響を与える可能性があります

ストレージ バケットの制約

  • Cloud Storage API が制約 constraints/gcp.restrictNonCmekServicesDeny ポリシーリストに含まれている場合、基盤となるストレージ バケットが CMEK で暗号化されていないと、イメージを Container Registry に push できません。

  • constraints/gcp.restrictCmekCryptoKeyProjects が構成されている場合は、許可されたプロジェクト、フォルダ、または組織の CryptoKey を使用してストレージ バケットを暗号化する必要があります。新しいバケットでは構成された鍵が使用されますが、ポリシーを遵守していない既存のバケットでは、必要な鍵がデフォルトで使用されるように構成する必要があります。

制約が Cloud Storage バケットに適用される仕組みの詳細については、Cloud Storage のドキュメントで制約をご覧ください。

Pub/Sub トピックの制約

Google Cloud プロジェクトで Container Registry API を有効にすると、Container Registry は Google が管理する暗号鍵を使用して、トピック ID が gcr である Pub/Sub トピックを自動的に作成しようとします。

Pub/Sub API が制約 constraints/gcp.restrictNonCmekServicesDeny ポリシーリストに含まれている場合、トピックは CMEK で暗号化する必要があります。CMEK 暗号化なしでトピックを作成するリクエストは失敗します。

CMEK 暗号化を使用して gcr トピックを作成するには、Pub/Sub のトピックを暗号化する手順をご覧ください。

CMEK を使用するようにバケットを構成する

Container Registry は Cloud KMS と直接統合されていません。代わりに Container Registry は、コンテナ イメージを CMEK を使用するよう設定したストレージ バケットに保存する場合、CMEK 準拠となります。

  1. まだ行っていない場合は、イメージを Container Registry に push します。 ストレージ バケットはまだ CMEK 鍵を使用していません。

  2. Cloud Storage で、CMEK 鍵を使用するようにストレージ バケットを設定します。

レジストリホストのバケット名には、次のいずれかの形式があります。

  • artifacts.PROJECT-ID.appspot.com(イメージがホスト gcr.io に保存されている場合)
  • asia.gcr.ioeu.gcr.ious.gcr.io に保存されているイメージの場合は STORAGE-REGION.artifacts.PROJECT-ID.appspot.com

次のステップ