O Container Registry foi descontinuado. A partir de 18 de março de 2025, o Container Registry é encerrado e a gravação de imagens no Container Registry deixa de estar disponível.
Para mais informações sobre a descontinuação do Container Registry e como migrar para o Artifact Registry, consulte o artigo Descontinuação do Container Registry.

Esta página foi traduzida pela API Cloud Translation.

Usar chaves de encriptação geridas pelo cliente

O Container Registry armazena imagens de contentores no Cloud Storage. O Cloud Storage encripta sempre os seus dados do lado do servidor.

Se tiver requisitos regulamentares ou de conformidade, pode encriptar as suas imagens de contentores com chaves de encriptação geridas pelo cliente (CMEK). As chaves CMEK são geridas no Cloud Key Management Service. Quando usa a CMEK, pode desativar temporária ou permanentemente o acesso a uma imagem de contentor encriptada desativando ou destruindo a chave.

Restrições de políticas da organização

As restrições de políticas da organização podem afetar a utilização do Container Registry quando se aplicam a serviços que o Container Registry utiliza.

Restrições para contentores de armazenamento

Quando a API Cloud Storage está na lista de políticas Deny para a restrição constraints/gcp.restrictNonCmekServices, não pode enviar imagens para o Container Registry. O Container Registry não usa a CMEK para criar contentores de armazenamento quando a primeira imagem é enviada para um anfitrião, e não pode criar os contentores de armazenamento manualmente.

Se precisar de aplicar esta restrição da política da organização, considere alojar as suas imagens no Artifact Registry. Pode criar manualmente repositórios no Artifact Registry que suportam pedidos para o domínio gcr.io, para que possa continuar a usar os fluxos de trabalho de imagens de contentores existentes. Para ver detalhes, consulte o artigo Transição para repositórios com compatibilidade com o domínio gcr.io.
Quando constraints/gcp.restrictCmekCryptoKeyProjects está configurado, os contentores de armazenamento têm de ser encriptados com uma CryptoKey de um projeto, uma pasta ou uma organização permitidos. Os novos contentores vão usar a chave configurada, mas os contentores existentes que não estejam em conformidade têm de ser configurados para usar a chave necessária por predefinição.

Para mais informações sobre como as restrições se aplicam aos contentores do Cloud Storage, consulte a documentação do Cloud Storage sobre restrições.

Restrições para tópicos do Pub/Sub

Quando ativa a API Container Registry numGoogle Cloud projeto, o Container Registry tenta criar automaticamente um tópico do Pub/Sub com o ID do tópico gcr através de chaves de encriptação geridas pela Google.

Quando a API Pub/Sub está na Deny lista de políticas para a restrição constraints/gcp.restrictNonCmekServices, os tópicos têm de ser encriptados com CMEK. Os pedidos de criação de um tópico sem encriptação CMEK falham.

Para criar o tópico gcr com encriptação CMEK, consulte as instruções para encriptar tópicos do Pub/Sub.

Configurar contentores para usar CMEK

O Container Registry não está diretamente integrado com o Cloud KMS. Em alternativa, é compatível com CMEK quando armazena as imagens de contentores em contentores de armazenamento configurados para usar CMEK.

Se ainda não o fez, envie uma imagem para o Container Registry. O contentor de armazenamento ainda não usa uma chave CMEK.
No Cloud Storage, configure o contentor de armazenamento para usar a chave CMEK.

O nome do contentor de um anfitrião de registo tem um dos seguintes formatos:

artifacts.PROJECT-ID.appspot.com para imagens armazenadas no anfitrião gcr.io
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para imagens armazenadas no asia.gcr.io, eu.gcr.io ou us.gcr.io.

O que se segue?

Saiba mais sobre a gestão de imagens do Container Registry.
Saiba mais acerca das CMEK
Saiba mais sobre o Cloud Storage