Como usar chaves de criptografia gerenciadas pelo cliente

O Container Registry armazena imagens de contêiner no Cloud Storage. O Cloud Storage sempre criptografa os dados no servidor.

Se você tiver requisitos regulatórios ou de conformidade, poderá criptografar suas imagens de contêiner usando chaves de criptografia gerenciadas pelo cliente (CMEK). As chaves CMEK são gerenciadas no Cloud Key Management Service. Ao usar o CMEK, você pode desativar temporariamente ou permanentemente o acesso a uma imagem de contêiner criptografada desativando ou destruindo a chave.

O Container Registry não está integrado diretamente ao Cloud KMS. Em vez disso, ele é compatível com CMEK quando você armazena suas imagens de contêiner em intervalos de armazenamento configurados para usar CMEK.

  1. Se você não tiver feito isso, envie uma imagem para o Container Registry. O intervalo de armazenamento ainda não usa uma chave CMEK.

  2. No Cloud Storage, configure o intervalo de armazenamento para usar a chave CMEK.

A seguir