Wenn Sie Secret Manager verwenden, um Ihre Amazon S3- oder Microsoft Azure-Anmeldedaten zu speichern und zu übergeben, können Sie zusätzlich einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden, um ruhende Anmeldedaten zu verschlüsseln.
Eine Anleitung dazu finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren.
CMEK mit Organisationsrichtlinie erzwingen
Wenn Sie die Verwendung von CMEK über eine Organisationsrichtlinie erzwingen möchten, fügen Sie Storage Transfer Service und Secret Manager der Ablehnungsliste constraints/gcp.restrictNonCmekServices hinzu. Fügen Sie insbesondere Folgendes hinzu:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Eine Anleitung finden Sie unter Organisationsrichtlinien erstellen und verwalten.
Der Storage Transfer Service prüft diese Einschränkung beim Erstellen und Aktualisieren von Jobs und erzwingt sie. Vorhandene Übertragungsjobs sind nicht betroffen.