Si usas Secret Manager para almacenar y pasar tus credenciales de Amazon S3 o Microsoft Azure, también puedes usar una clave de encriptación administrada por el cliente (CMEK) a fin de encriptar esas credenciales en reposo.
Consulta Habilita las claves de encriptación administradas por el cliente para Secret Manager si quieres obtener instrucciones.
Aplica CMEK con la política de la organización
Para aplicar el uso de CMEK a través de una política de la organización, agrega el Servicio de transferencia de almacenamiento y Secret Manager a la lista de denegación constraints/gcp.restrictNonCmekServices. Específicamente, agrega lo siguiente:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Consulta Crea y administra políticas de la organización para obtener instrucciones.
El Servicio de transferencia de almacenamiento verifica y aplica esta restricción durante la creación y actualización del trabajo. Los trabajos de transferencia existentes no se ven afectados.