Si vous utilisez Secret Manager pour stocker et transmettre vos identifiants Amazon S3 ou Microsoft Azure, vous pouvez également utiliser une clé de chiffrement gérée par le client (CMEK) pour chiffrer ces identifiants au repos.
Pour obtenir des instructions, consultez Activer des clés de chiffrement gérées par le client pour Secret Manager.
Appliquer le chiffrement CMEK avec une règle d'administration
Pour appliquer l'utilisation de CMEK via une règle d'administration, ajoutez service de transfert de stockage et Secret Manager à la liste de refus constraints/gcp.restrictNonCmekServices. Plus précisément, ajoutez les éléments suivants:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Pour savoir comment procéder, consultez la section Créer et gérer des règles d'administration.
Le service de transfert de stockage vérifie et applique cette restriction lors de la création et de la mise à jour des tâches. Les tâches de transfert existantes ne sont pas affectées.