Se utilizzi Secret Manager per archiviare e passare le tue credenziali Amazon S3 o Microsoft Azure, puoi utilizzare anche una chiave di crittografia gestita dal cliente (CMEK) per criptare queste credenziali at-rest.
Per le istruzioni, vedi Abilitare le chiavi di crittografia gestite dal cliente per Secret Manager.
Applica CMEK con criterio dell'organizzazione
Per forzare l'utilizzo di CMEK tramite un criterio dell'organizzazione, aggiungi Storage Transfer Service e Secret Manager all'elenco di tipi non consentiti di constraints/gcp.restrictNonCmekServices. In particolare, aggiungi:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Per le istruzioni, vedi Creazione e gestione dei criteri dell'organizzazione.
Storage Transfer Service controlla e applica questa limitazione durante la creazione e l'aggiornamento dei job. I job di trasferimento esistenti non sono interessati.