Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Criptografia de dados e chaves de criptografia

Neste tópico, você encontra informações sobre criptografia de dados no Google Cloud e sobre chaves de criptografia.

Criptografia em trânsito e em repouso

O Google Cloud ativa a criptografia em trânsito por padrão para criptografar solicitações antes da transmissão e proteger os dados brutos usando o protocolo Transport Layer Security (TLS).

Assim que os dados são transferidos para o Google Cloud para serem armazenados, o Google Cloud aplica a criptografia em repouso por padrão. Para ter mais controle sobre como os dados são criptografados em repouso, os clientes do Google Cloud podem usar o Cloud Key Management Service para gerar, usar, alternar e destruir chaves de criptografia de acordo com as próprias políticas. de dados. Elas são chamadas de chaves de criptografia gerenciadas pelo cliente (CMEK).

Para determinados regimes de conformidade, o Assured Workloads pode implantar um projeto de CMEK junto com seu projeto de recursos durante a criação do ambiente de carga de trabalho.

Como alternativa à CMEK, as chaves de criptografia gerenciadas pelo Google, fornecidas por padrão, são compatíveis com o FIPS-140-2 e oferecem suporte à FedRAMP de nível médio e IL4. Os clientes podem excluir o projeto CMEK e confiar apenas nas chaves gerenciadas pelo Google. No entanto, recomendamos que você decida usar as chaves CMEK antes de criar seu ambiente do Assured Workloads porque a exclusão das CMEKs em uso atuais pode resultar na incapacidade de acessar ou recuperar dados.

Chaves de criptografia gerenciadas pelo cliente (CMEK)

Se você precisar de mais controle sobre as chaves usadas para criptografar dados em repouso em um projeto do Google Cloud do que as fornecidas pela criptografia padrão do Google Cloud, os serviços do Google Cloud oferecem a capacidade de proteger dados usando chaves de criptografia gerenciadas. pelo cliente no Cloud KMS. Essas chaves de criptografia são chamadas de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).

Para saber quais aspectos do ciclo de vida e do gerenciamento das chaves a CMEK oferece, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) na documentação do Cloud KMS. Para ver um tutorial que orienta você no gerenciamento de chaves e dados criptografados usando o Cloud KMS, consulte o guia de início rápido ou o codelab.

A seguir