Si vous utilisez Secret Manager pour stocker et transmettre vos identifiants Amazon S3 ou Microsoft Azure, vous pouvez également utiliser une clé de chiffrement gérée par le client (CMEK) pour chiffrer ces identifiants au repos.
Pour en savoir plus, consultez la section Activer les clés de chiffrement gérées par le client pour Secret Manager.
Appliquer les clés CMEK avec une règle d'administration
Pour forcer l'utilisation de clés CMEK via une règle d'administration, ajoutez le service de transfert de stockage et Secret Manager à la liste de refus constraints/gcp.restrictNonCmekServices. Plus précisément, ajoutez:
secretmanager.googleapis.comstoragetransfer.googleapis.com
Consultez la page Créer et gérer des règles d'administration pour obtenir des instructions.
Le service de transfert de stockage vérifie et applique cette restriction lors de la création et de la mise à jour des tâches. Les tâches de transfert existantes ne sont pas affectées.