Si usas Secret Manager para almacenar y pasar tus credenciales de Amazon S3 o Microsoft Azure, también puedes usar una clave de encriptación administrada por el cliente (CMEK) para encriptar esas credenciales en reposo.
Consulta Habilita claves de encriptación administradas por el cliente para Secret Manager para obtener instrucciones.
Aplica CMEK con la política de la organización
Para aplicar el uso de CMEK a través de una política de la organización, agrega el Servicio de transferencia de almacenamiento y Secret Manager a la lista de entidades rechazadas de constraints/gcp.restrictNonCmekServices. Específicamente, agrega lo siguiente:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Consulta Crea y administra políticas de la organización para obtener instrucciones.
El Servicio de transferencia de almacenamiento verifica y aplica esta restricción cuando se crean y actualizan trabajos. Los trabajos de transferencia existentes no se ven afectados.