고객 관리 암호화 키 사용

Container Registry는 Cloud Storage에 컨테이너 이미지를 저장합니다. Cloud Storage는 항상 서버 측에서 데이터를 암호화합니다.

규정 준수 또는 규제 요건이 있는 경우 고객 관리 암호화 키 (CMEK)를 사용하여 컨테이너 이미지를 암호화할 수 있습니다. CMEK 키는 Cloud Key Management Service에서 관리됩니다. CMEK를 사용할 때 키를 사용 중지하거나 폐기하여 암호화된 컨테이너 이미지에 대한 액세스를 일시적으로 또는 영구적으로 사용 중지할 수 있습니다.

조직 정책 제약조건

조직 정책 제약조건은 Container Registry에 사용되는 서비스에 적용될 때 Container Registry 사용에 영향을 줄 수 있습니다.

스토리지 버킷 제약조건

  • Cloud Storage API가 constraints/gcp.restrictNonCmekServices 제약조건의 Deny 정책 목록에 있으면 이미지를 Container Registry로 내보낼 수 없습니다. Container Registry는 첫 번째 이미지가 호스트로 푸시될 때 CMEK를 사용하여 스토리지 버킷을 만들지 않으며, 스토리지 버킷은 수동으로 만들 수 없습니다.

    이 조직 정책 제약조건을 시행해야 하는 경우 대신 Artifact Registry에서 이미지를 호스팅하는 것이 좋습니다. 기존 컨테이너 이미지 워크플로를 계속 사용할 수 있도록 Artifact Registry에서 gcr.io 도메인에 대한 요청을 지원하는 저장소를 수동으로 만들 수 있습니다. 자세한 내용은 gcr.io 도메인 지원을 사용해 저장소로 전환을 참조하세요.

  • constraints/gcp.restrictCmekCryptoKeyProjects가 구성된 경우에는 허용되는 프로젝트, 폴더, 조직에서 CryptoKey를 사용하여 스토리지 버킷이 암호화되어 있어야 합니다. 새 버킷에 구성된 키가 사용되지만 기본적으로 필요한 키를 사용하도록 호환되지 않는 기존 버킷을 구성해야 합니다.

제약조건이 Cloud Storage 버킷에 적용되는 방식에 대한 자세한 내용은 제약조건에 대한 Cloud Storage 문서를 참조하세요.

Pub/Sub 주제의 제약조건

Google Cloud 프로젝트에서 Container Registry API를 활성화하면 Container Registry는 Google 관리 암호화 키를 사용하여 주제 ID gcr로 Pub/Sub 주제를 자동으로 만들려고 합니다.

Pub/Sub API가 constraints/gcp.restrictNonCmekServices 제약조건에 대한 Deny 정책 목록에 있으면 주제가 CMEK로 암호화되어야 합니다. CMEK 암호화 없이 주제를 만들려는 요청은 실패합니다.

CMEK 암호화로 gcr 주제를 만들려면 Pub/Sub 주제 암호화 안내를 참조하세요.

CMEK를 사용하도록 버킷 구성

Container Registry는 Cloud KMS와 직접 통합되지 않습니다. 대신 CMEK를 사용하도록 구성된 스토리지 버킷에 컨테이너 이미지를 저장할 때 CMEK를 준수합니다.

  1. 아직 수행하지 않은 경우 Container Registry로 이미지를 내보냅니다. 스토리지 버킷은 아직 CMEK 키를 사용하지 않습니다.

  2. Cloud Storage에서 CMEK 키를 사용하도록 스토리지 버킷을 구성합니다.

레지스트리 호스트의 버킷 이름에는 다음 형식 중 하나가 포함됩니다.

  • 호스트 gcr.io에 저장된 이미지의 경우 artifacts.PROJECT-ID.appspot.com
  • asia.gcr.io, eu.gcr.io, us.gcr.io에 저장된 이미지의 경우 STORAGE-REGION.artifacts.PROJECT-ID.appspot.com

다음 단계