O Container Registry está descontinuado. Após 15 de maio de 2024. O Artifact Registry hospedará imagens do domínio gcr.io em projetos sem uso anterior do Container Registry. Saiba mais

Como usar chaves de criptografia gerenciadas pelo cliente

O Container Registry armazena imagens de contêiner no Cloud Storage. O Cloud Storage sempre criptografa os dados no servidor.

Se você tiver requisitos regulatórios ou de conformidade, poderá criptografar suas imagens de contêiner usando chaves de criptografia gerenciadas pelo cliente (CMEK). As chaves CMEK são gerenciadas no Cloud Key Management Service. Ao usar o CMEK, você pode desativar temporariamente ou permanentemente o acesso a uma imagem de contêiner criptografada desativando ou destruindo a chave.

Restrições da política da organização

As restrições da política da organização podem afetar o uso do Container Registry quando elas se aplicam aos serviços que o Container Registry usa.

Restrições para buckets de armazenamento

  • Quando a API Cloud Storage está na lista de políticas Deny para a restrição constraints/gcp.restrictNonCmekServices, não é possível enviar imagens para o Container Registry. O Container Registry não usa CMEK para criar buckets de armazenamento quando a primeira imagem é enviada para um host, e não é possível criar os buckets de armazenamento manualmente.

    Se você precisar aplicar essa restrição de política da organização, hospede as imagens no Artifact Registry. É possível criar repositórios no Artifact Registry que sejam compatíveis com solicitações ao domínio gcr.io para continuar usando os fluxos de trabalho de imagem de contêiner atuais. Para detalhes, consulte Transição para repositórios compatíveis com o domínio gcr.io.

  • Quando constraints/gcp.restrictCmekCryptoKeyProjects é configurado, os buckets de armazenamento precisam ser criptografados com uma CryptoKey de um projeto, uma pasta ou uma organização permitida. Os novos buckets usarão a chave configurada, mas os buckets atuais que não estiverem em conformidade precisarão ser configurados para usar a chave necessária por padrão.

Para mais informações sobre como as restrições se aplicam aos buckets do Cloud Storage, consulte a documentação do Cloud Storage sobre restrições.

Restrições para tópicos do Pub/Sub

Quando você ativa a API Container Registry em um projeto do Google Cloud, o Container Registry tenta criar automaticamente um tópico Pub/Sub com o ID do tópico gcr usando chaves de criptografia gerenciadas pelo Google.

Quando a API Pub/Sub está na lista de políticas Deny para a restrição constraints/gcp.restrictNonCmekServices, os tópicos precisam ser criptografados com CMEK. As solicitações para criar um tópico sem criptografia com CMEK falharão.

Para criar o tópico gcr com criptografia de CMEK, consulte as instruções para criptografar tópicos do Pub/Sub.

Como configurar buckets para usar CMEK

O Container Registry não está integrado diretamente ao Cloud KMS. Em vez disso, ele é compatível com CMEK quando você armazena suas imagens de contêiner em intervalos de armazenamento configurados para usar CMEK.

  1. Se você não tiver feito isso, envie uma imagem para o Container Registry. O intervalo de armazenamento ainda não usa uma chave CMEK.

  2. No Cloud Storage, configure o intervalo de armazenamento para usar a chave CMEK.

O nome do bucket de um host de registro tem um dos seguintes formatos:

  • artifacts.PROJECT-ID.appspot.com para imagens armazenadas no host gcr.io
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com para imagens armazenadas em asia.gcr.io, eu.gcr.io ou us.gcr.io.

A seguir