Container Registry は、コンテナ イメージを Cloud Storage に保存します。Cloud Storage は常にサーバー側でデータを暗号化します。
コンプライアンス要件または規制要件がある場合は、顧客管理の暗号鍵(CMEK)を使用してコンテナ イメージを暗号化できます。CMEK 鍵は Cloud Key Management Service で管理されます。CMEK を使用する場合、鍵を無効化または破棄することで、暗号化されたコンテナ イメージへのアクセスを一時停止または恒久的に無効にできます。
組織ポリシーの制約
組織のポリシーの制約が、Container Registry が使用するサービスに適用される場合、Container Registry の使用に影響を与える可能性があります
ストレージ バケットの制約
Cloud Storage API が制約
constraints/gcp.restrictNonCmekServicesのDenyポリシーリストに含まれている場合、イメージを Container Registry に push することはできません。Container Registry では、最初のイメージがホストに push されたときに CMEK を使用してストレージ バケットを作成しません。また、ストレージ バケットを手動で作成することもできません。この組織のポリシーの制約を適用する必要がある場合は、代わりに Artifact Registry でのイメージのホスティングを検討してください。
gcr.ioドメインへのリクエストをサポートするリポジトリを Artifact Registry に手動で作成できるため、既存のコンテナ イメージ ワークフローを引き続き使用できます。詳細については、gcr.io ドメインをサポートするリポジトリへの移行をご覧ください。constraints/gcp.restrictCmekCryptoKeyProjectsが構成されている場合は、許可されたプロジェクト、フォルダ、または組織の CryptoKey を使用してストレージ バケットを暗号化する必要があります。新しいバケットでは構成された鍵が使用されますが、ポリシーを遵守していない既存のバケットでは、必要な鍵がデフォルトで使用されるように構成する必要があります。
制約が Cloud Storage バケットに適用される仕組みの詳細については、Cloud Storage のドキュメントで制約をご覧ください。
Pub/Sub トピックの制約
Google Cloud プロジェクトで Container Registry API を有効にすると、Container Registry は Google が管理する暗号鍵を使用して、トピック ID が gcr である Pub/Sub トピックを自動的に作成しようとします。
Pub/Sub API が制約 constraints/gcp.restrictNonCmekServices の Deny ポリシーリストに含まれている場合、トピックは CMEK で暗号化する必要があります。CMEK 暗号化なしでトピックを作成するリクエストは失敗します。
CMEK 暗号化を使用して gcr トピックを作成するには、Pub/Sub のトピックを暗号化する手順をご覧ください。
CMEK を使用するようにバケットを構成する
Container Registry は Cloud KMS と直接統合されていません。代わりに Container Registry は、コンテナ イメージを CMEK を使用するよう設定したストレージ バケットに保存する場合、CMEK 準拠となります。
まだ行っていない場合は、イメージを Container Registry に push します。 ストレージ バケットはまだ CMEK 鍵を使用していません。
Cloud Storage で、CMEK 鍵を使用するようにストレージ バケットを設定します。
レジストリホストのバケット名には、次のいずれかの形式があります。
artifacts.PROJECT-ID.appspot.com(イメージがホストgcr.ioに保存されている場合)asia.gcr.io、eu.gcr.io、us.gcr.ioに保存されているイメージの場合はSTORAGE-REGION.artifacts.PROJECT-ID.appspot.com。
次のステップ
- Container Registry イメージの管理について詳細を確認する。
- CMEK の詳細を見る。
- Cloud Storage に関する詳細を見る