客戶自行管理的加密金鑰

如果您使用 Secret Manager 儲存及傳遞 Amazon S3 或 Microsoft Azure 憑證,還可以使用客戶自行管理的加密金鑰 (CMEK) 在閒置時加密這些憑證。

如需操作說明,請參閱「為 Secret Manager 啟用客戶管理加密金鑰」。

透過機構政策強制執行 CMEK

如要透過機構政策強制使用 CMEK,請將 Storage Transfer Service 和 Secret Manager 新增至 constraints/gcp.restrictNonCmekServices 拒絕清單。具體來說,請新增:

  • secretmanager.googleapis.com
  • storagetransfer.googleapis.com

如需操作說明,請參閱「建立及管理機構政策」一文。

儲存空間轉移服務會在建立及更新工作時檢查並強制執行這項限制。現有的移轉工作不會受到影響。