Secret Manager を使用して Amazon S3 または Microsoft Azure の認証情報を保存し、渡す場合、顧客管理の暗号鍵(CMEK)を使用して、それらの保管されている認証情報を暗号化できます。
手順については、Secret Manager の顧客管理の暗号鍵の有効化をご覧ください。
組織のポリシーで CMEK を適用する
組織のポリシーを通じて CMEK の使用を強制するには、Storage Transfer Service と Secret Manager を constraints/gcp.restrictNonCmekServices
拒否リストに追加します。具体的には、次の行を追加します。
secretmanager.googleapis.com
storagetransfer.googleapis.com
手順については、組織のポリシーの作成と管理をご覧ください。
Storage Transfer Service は、ジョブの作成と更新時に、この制限を確認して適用します。既存の転送ジョブが影響を受けることはありません。