Se utilizzi Secret Manager per archiviare e trasmettere le tue credenziali Amazon S3 o Microsoft Azure, puoi anche utilizzare una chiave di crittografia gestita dal cliente (CMEK) per criptarle in stato di riposo.
Per le istruzioni, consulta Abilitare le chiavi di crittografia gestite dal cliente per Secret Manager.
Applicare CMEK con il criterio dell'organizzazione
Per applicare l'uso di CMEK tramite un criterio dell'organizzazione,
aggiungi Storage Transfer Service e Secret Manager all'constraints/gcp.restrictNonCmekServices elenco di rifiuto. Nello specifico, aggiungi:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Per le istruzioni, consulta Creare e gestire i criteri dell'organizzazione.
Storage Transfer Service controlla e applica questa limitazione durante la creazione e l'aggiornamento dei job. I job di trasferimento esistenti non sono interessati.