Se você estiver usando o Secret Manager para armazenar e transmitir suas credenciais do Amazon S3 ou do Microsoft Azure, também poderá usar uma chave de criptografia gerenciada pelo cliente (CMEK) para criptografar essas credenciais em repouso.
Consulte Ativar chaves de criptografia gerenciadas pelo cliente no Secret Manager para ver instruções.
Aplicar o CMEK com a política da organização
Para aplicar o uso da CMEK com uma política da organização,
adicione o Serviço de transferência do Cloud Storage e o Secret Manager à
lista de negação constraints/gcp.restrictNonCmekServices. Mais especificamente, adicione:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Consulte Como criar e gerenciar políticas da organização para instruções.
O Serviço de transferência do Cloud Storage verifica e aplica essa restrição na criação e atualização do job. Os trabalhos de transferência atuais não são afetados.