Artifact Registry는 컨테이너 이미지를 관리하는 데 권장되는 서비스입니다. Container Registry가 계속 지원되지만 중요한 보안 수정사항만 제공됩니다. Artifact Registry로 전환하는 방법을 알아보세요.

고객 관리 암호화 키 사용

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Container Registry는 Cloud Storage에 컨테이너 이미지를 저장합니다. Cloud Storage는 항상 서버 측에서 데이터를 암호화합니다.

규정 준수 또는 규제 요건이 있는 경우 고객 관리 암호화 키 (CMEK)를 사용하여 컨테이너 이미지를 암호화할 수 있습니다. CMEK 키는 Cloud Key Management Service에서 관리됩니다. CMEK를 사용할 때 키를 사용 중지하거나 폐기하여 암호화된 컨테이너 이미지에 대한 액세스를 일시적으로 또는 영구적으로 사용 중지할 수 있습니다.

조직 정책 제약조건

조직 정책 제약조건은 Container Registry에 사용되는 서비스에 적용될 때 Container Registry 사용에 영향을 줄 수 있습니다.

스토리지 버킷 제약조건

  • Cloud Storage API가 constraints/gcp.restrictNonCmekServices 제약 조건에 대한 Deny 정책 목록에 있으면 기본 스토리지 버킷이 CMEK로 암호화되지 않은 경우에 Container Registry에 이미지를 푸시할 수 있습니다.

  • constraints/gcp.restrictCmekCryptoKeyProjects가 구성된 경우에는 허용되는 프로젝트, 폴더, 조직에서 CryptoKey를 사용하여 스토리지 버킷이 암호화되어 있어야 합니다. 새 버킷에 구성된 키가 사용되지만 기본적으로 필요한 키를 사용하도록 호환되지 않는 기존 버킷을 구성해야 합니다.

제약조건이 Cloud Storage 버킷에 적용되는 방식에 대한 자세한 내용은 제약조건에 대한 Cloud Storage 문서를 참조하세요.

Pub/Sub 주제의 제약조건

Google Cloud 프로젝트에서 Container Registry API를 활성화하면 Container Registry는 Google 관리 암호화 키를 사용하여 주제 ID gcr로 Pub/Sub 주제를 자동으로 만들려고 합니다.

Pub/Sub API가 constraints/gcp.restrictNonCmekServices 제약조건에 대한 Deny 정책 목록에 있으면 주제가 CMEK로 암호화되어야 합니다. CMEK 암호화 없이 주제를 만들려는 요청은 실패합니다.

CMEK 암호화로 gcr 주제를 만들려면 Pub/Sub 주제 암호화 안내를 참조하세요.

CMEK를 사용하도록 버킷 구성

Container Registry는 Cloud KMS와 직접 통합되지 않습니다. 대신 CMEK를 사용하도록 구성된 스토리지 버킷에 컨테이너 이미지를 저장할 때 CMEK를 준수합니다.

  1. 아직 수행하지 않은 경우 Container Registry로 이미지를 내보냅니다. 스토리지 버킷은 아직 CMEK 키를 사용하지 않습니다.

  2. Cloud Storage에서 CMEK 키를 사용하도록 스토리지 버킷을 구성합니다.

레지스트리 호스트의 버킷 이름에는 다음 형식 중 하나가 포함됩니다.

  • 호스트 gcr.io에 저장된 이미지의 경우 artifacts.PROJECT-ID.appspot.com
  • asia.gcr.io, eu.gcr.io, us.gcr.io에 저장된 이미지의 경우 STORAGE-REGION.artifacts.PROJECT-ID.appspot.com

다음 단계