Container Registry는 지원 중단되었으며 종료될 예정입니다. 2024년 5월 15일부터 Artifact Registry는 이전 Container Registry를 사용하지 않고 프로젝트의 gcr.io 도메인 이미지를 호스팅합니다. 2025년 3월 18일 이후에는 Container Registry가 종료됩니다.
Container Registry는 Cloud Storage에 컨테이너 이미지를 저장합니다. Cloud Storage는 항상 서버 측에서 데이터를 암호화합니다.
규정 준수 또는 규제 요건이 있는 경우 고객 관리 암호화 키 (CMEK)를 사용하여 컨테이너 이미지를 암호화할 수 있습니다. CMEK 키는 Cloud Key Management Service에서 관리됩니다. CMEK를 사용할 때 키를 사용 중지하거나 폐기하여 암호화된 컨테이너 이미지에 대한 액세스를 일시적으로 또는 영구적으로 사용 중지할 수 있습니다.
조직 정책 제약조건
조직 정책 제약조건은 Container Registry에 사용되는 서비스에 적용될 때 Container Registry 사용에 영향을 줄 수 있습니다.
스토리지 버킷 제약조건
Cloud Storage API가 constraints/gcp.restrictNonCmekServices 제약 조건에 대한 Deny 정책 목록에 있으면 Container Registry에 이미지를 푸시할 수 없습니다. Container Registry는 첫 번째 이미지가 호스트로 푸시될 때 CMEK를 사용하여 스토리지 버킷을 만들지 않으며, 스토리지 버킷은 수동으로 만들 수 없습니다.
이 조직 정책 제약조건을 적용해야 하는 경우 대신 Artifact Registry에서 이미지를 호스팅하는 것이 좋습니다. 기존 컨테이너 이미지 워크플로를 계속 사용할 수 있도록 Artifact Registry에서 gcr.io 도메인에 대한 요청을 지원하는 저장소를 수동으로 만들 수 있습니다. 자세한 내용은 gcr.io 도메인 지원을 사용하는 저장소로 전환을 참고하세요.
constraints/gcp.restrictCmekCryptoKeyProjects가 구성된 경우에는 허용되는 프로젝트, 폴더, 조직에서 CryptoKey를 사용하여 스토리지 버킷이 암호화되어 있어야 합니다. 새 버킷에 구성된 키가 사용되지만 기본적으로 필요한 키를 사용하도록 호환되지 않는 기존 버킷을 구성해야 합니다.
제약조건이 Cloud Storage 버킷에 적용되는 방식에 대한 자세한 내용은 제약조건에 대한 Cloud Storage 문서를 참조하세요.
Pub/Sub 주제의 제약조건
Google Cloud 프로젝트에서 Container Registry API를 활성화하면 Container Registry는 Google 관리 암호화 키를 사용하여 주제 ID gcr로 Pub/Sub 주제를 자동으로 만들려고 합니다.
Pub/Sub API가 constraints/gcp.restrictNonCmekServices 제약조건에 대한 Deny 정책 목록에 있으면 주제가 CMEK로 암호화되어야 합니다. CMEK 암호화 없이 주제를 만들려는 요청은 실패합니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[[["\u003cp\u003eContainer Registry uses Cloud Storage to store container images, and Cloud Storage encrypts data server-side by default.\u003c/p\u003e\n"],["\u003cp\u003eFor compliance, customer-managed encryption keys (CMEK) can be used to encrypt container images stored in Container Registry, allowing control over access by disabling or destroying the key.\u003c/p\u003e\n"],["\u003cp\u003eOrganization policy constraints, particularly those related to Cloud Storage and Pub/Sub APIs, can affect Container Registry usage, such as preventing image pushes or requiring CMEK for new storage buckets and Pub/Sub topics.\u003c/p\u003e\n"],["\u003cp\u003eIf \u003ccode\u003econstraints/gcp.restrictNonCmekServices\u003c/code\u003e is enforced, you cannot push images to Container Registry, and Artifact Registry is recommended as an alternative.\u003c/p\u003e\n"],["\u003cp\u003eContainer Registry can use CMEK by leveraging storage buckets configured with CMEK in Cloud Storage; however, this is impossible if \u003ccode\u003econstraints/gcp.restrictNonCmekServices\u003c/code\u003e is being used.\u003c/p\u003e\n"]]],[],null,["# Using customer-managed encryption keys\n\nContainer Registry stores container images in Cloud Storage. Cloud Storage\nalways [encrypts your data on the server side](/storage/docs/encryption/default-keys).\n\nIf you have compliance or regulatory requirements, you can encrypt your container\nimages using [customer-managed encryption keys (CMEK)](/kms/docs/cmek). CMEK keys\nare managed in Cloud Key Management Service. When you use CMEK, you can temporarily or\npermanently disable access to an encrypted container image by disabling or\ndestroying the key.\n\nOrganization policy constraints\n-------------------------------\n\n[Organization policy constraints](/resource-manager/docs/organization-policy/org-policy-constraints) can affect usage of\nContainer Registry when they apply to services that Container Registry\nuses.\n\n### Constraints for storage buckets\n\n- When the Cloud Storage API is in the `Deny` policy list for the\n constraint `constraints/gcp.restrictNonCmekServices`, you cannot push images\n to Container Registry. Container Registry does not use CMEK to create\n storage buckets when the first image is pushed to a host, and you cannot\n create the storage buckets manually.\n\n If you need to enforce this organization policy constraint, consider\n hosting your images in Artifact Registry instead. You can manually create\n repositories in Artifact Registry that support requests to the `gcr.io` domain\n so that you can continue to use your existing container image workflows. For\n details, see\n [Transition to repositories with gcr.io domain support](/artifact-registry/docs/transition/setup-gcr-repo#analysis).\n- When `constraints/gcp.restrictCmekCryptoKeyProjects` is configured,\n storage buckets must be encrypted with a CryptoKey from an allowed project,\n folder, or organization. New buckets will use the configured key, but existing\n buckets that are not compliant must be configured to use the required key by\n default.\n\nFor more information about how constraints apply to Cloud Storage buckets,\nsee the [Cloud Storage documentation](/storage/docs/org-policy-constraints) about constraints.\n\n### Constraints for Pub/Sub topics\n\nWhen you activate the Container Registry API in a\nGoogle Cloud project, Container Registry tries to automatically create a\nPub/Sub topic with the topic ID `gcr` using Google-managed\nencryption keys.\n\nWhen the Pub/Sub API is in the `Deny` policy list for the\nconstraint `constraints/gcp.restrictNonCmekServices`, topics must be encrypted\nwith CMEK. Requests to create a topic without CMEK encryption will fail.\n\nTo create the `gcr` topic with CMEK encryption, see the Pub/Sub\n[instructions for encrypting topics](/pubsub/docs/encryption#using-cmek).\n\nConfiguring buckets to use CMEK\n-------------------------------\n\nContainer Registry is not directly integrated with Cloud KMS.\nInstead, it is [CMEK-compliant](/kms/docs/cmek#cmek_compliance) when you store\nyour container images in storage buckets\n[configured to use CMEK](/storage/docs/encryption/customer-managed-keys).\n| **Note:** When the Cloud Storage API is in the `Deny` policy list for the organization policy constraint [constraints/gcp.restrictNonCmekServices](#org-policy-storage), you cannot create and configure CMEK on Container Registry buckets.\n\n1. If you have not done so,\n [push an image to Container Registry](/container-registry/docs/pushing-and-pulling).\n The storage bucket does not use a CMEK key yet.\n\n2. In Cloud Storage,\n [configure the storage bucket](/storage/docs/encryption/using-customer-managed-keys)\n to use the CMEK key.\n\nThe bucket name for a registry host\nhas one of the following formats:\n\n- `artifacts.`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`.appspot.com` for images stored on the host `gcr.io`\n- \u003cvar translate=\"no\"\u003eSTORAGE-REGION\u003c/var\u003e`.artifacts.`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`.appspot.com` for images stored on `asia.gcr.io`, `eu.gcr.io`, or `us.gcr.io`.\n\nWhat's next?\n------------\n\n- Learn more about [managing Container Registry images](/container-registry/docs/managing).\n- Learn more about [CMEK](/kms/docs/cmek)\n- Learn more about [Cloud Storage](/storage/docs)"]]