Se você estiver usando o Secret Manager para armazenar e transmitir suas credenciais do Amazon S3 ou do Microsoft Azure, também poderá usar uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) para criptografar essas credenciais em repouso.
Consulte Ativar chaves de criptografia gerenciadas pelo cliente para o Secret Manager para ver as instruções.
Aplique CMEK com a política da organização
Para aplicar o uso de CMEK por uma política organizacional,
adicione o Serviço de transferência do Cloud Storage e o Secret Manager à
lista de bloqueio constraints/gcp.restrictNonCmekServices. Especificamente, adicione:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Consulte Como criar e gerenciar políticas da organização para instruções.
O Serviço de transferência do Cloud Storage verifica e aplica essa restrição na criação e atualização de jobs. Os jobs de transferência atuais não são afetados.