Wenn Sie Secret Manager zum Speichern und Übergeben Ihrer Amazon S3- oder Microsoft Azure-Anmeldedaten verwenden, können Sie zusätzlich einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden, um diese Anmeldedaten im Ruhezustand zu verschlüsseln.
Eine Anleitung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren.
CMEK mit Organisationsrichtlinie erzwingen
Wenn Sie die Verwendung von CMEK über eine Organisationsrichtlinie erzwingen möchten, fügen Sie den Storage Transfer Service und Secret Manager der constraints/gcp.restrictNonCmekServices-Deny-Liste hinzu. Fügen Sie Folgendes hinzu:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Eine Anleitung finden Sie unter Organisationsrichtlinien erstellen und verwalten.
Der Storage Transfer Service prüft diese Einschränkung beim Erstellen und Aktualisieren von Jobs und erzwingt sie. Vorhandene Übertragungsaufträge sind nicht betroffen.