建议使用 Artifact Registry 服务来管理容器映像。Container Registry 仍受支持,但只会收到重要的安全补丁。了解如何过渡到 Artifact Registry

使用客户管理的加密密钥

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

Container Registry 将容器映像存储在 Cloud Storage 中。Cloud Storage 始终会在服务器端对您的数据进行加密

如果您有合规性或监管要求,则可以使用客户管理的加密密钥 (CMEK) 来加密容器映像。CMEK 密钥在 Cloud Key Management Service 中进行管理。使用 CMEK 时,您可以通过停用或销毁密钥来临时或永久停用对加密容器映像的访问。

组织政策限制条件

当 Container Registry 使用 Service Container Registry 的服务时,组织政策限制条件可能会影响它们的使用

针对存储分区的限制

  • 当 Cloud Storage API 位于 constraints/gcp.restrictNonCmekServices 限制条件的 Deny 政策列表中时,如果底层存储分区未使用 CMEK 加密,则您无法将映像推送到 Container Registry。

  • 配置 constraints/gcp.restrictCmekCryptoKeyProjects 后,必须使用允许的项目、文件夹或组织中的 CryptoKey 对存储分区进行加密。新存储分区将使用配置的密钥,但不符合政策规定的现有存储分区必须默认配置为使用所需的密钥。

如需详细了解限制条件如何应用于 Cloud Storage 存储分区,请参阅 Cloud Storage 文档以了解限制条件。

Pub/Sub 主题的限制

在 Google Cloud 项目中激活 Container Registry API 时,Container Registry 会尝试使用 Google 管理的加密密钥自动创建主题 ID 为 gcr 的 Pub/Sub 主题。

当 Pub/Sub API 位于 constraints/gcp.restrictNonCmekServices 限制条件的 Deny 政策列表中时,必须使用 CMEK 加密主题。创建没有 CMEK 加密的主题的请求将失败。

如需创建采用 CMEK 加密的 gcr 主题,请参阅 Pub/Sub 加密主题说明

配置存储分区以使用 CMEK

Container Registry 未直接与 Cloud KMS 集成。 相反,如果您将容器映像存储在配置为使用 CMEK 的存储分区中,则该映像符合 CMEK

  1. 将映像推送到 Container Registry(如果您尚未执行此操作)。存储桶不使用 CMEK 密钥。

  2. 在 Cloud Storage 中,配置存储桶以使用 CMEK 密钥。

注册表主机的存储桶名称采用以下格式之一:

  • 对于存储在主机 gcr.io 上的映像,名称采用 artifacts.PROJECT-ID.appspot.com 格式
  • STORAGE-REGION.artifacts.PROJECT-ID.appspot.com(适用于存储在 asia.gcr.ioeu.gcr.ious.gcr.io 中的映像)。

后续步骤