数据加密和加密密钥

本页介绍 Google Cloud 上数据的加密和加密密钥。

传输加密和静态加密

Google Cloud 默认启用传输加密,以便在传输前加密请求,并使用传输层安全协议 (TLS) 保护原始数据。

将数据传输到 Google Cloud 进行存储后,默认情况下, Google Cloud会应用静态加密。为了更好地控制静态加密数据的方式,Google Cloud 客户可以使用 Cloud Key Management Service 并根据自己的政策生成、使用、轮替和销毁加密密钥。这些密钥称为客户管理的加密密钥 (CMEK)。

对于某些控制包,当您创建 Assured Workloads 文件夹时,Assured Workloads 可以部署 CMEK 项目以及资源项目

作为 CMEK 的替代方案, 的 Google 自有且由 Google 管理 的加密密钥(默认提供)符合 FIPS-140-2 标准,并且能够支持 Assured Workloads 中的大多数控制包。客户可以删除 CMEK 项目,仅依赖于 的 Google 自有且由 Google 管理 的加密密钥。不过,我们建议您在创建 Assured Workloads 文件夹之前决定是否使用 CMEK 密钥,因为删除现用的 CMEK 可能会导致无法访问或恢复数据。

客户管理的加密密钥 (CMEK)

如果您需要更好地控制用于对Google Cloud 项目中的静态数据进行加密的密钥,而不是 Google Cloud的默认加密提供的密钥,则 Google Cloud 服务提供了使用客户在 Cloud KMS 中管理的加密密钥来保护数据的功能。这些加密密钥称为客户管理的加密密钥 (CMEK)。

如需了解 CMEK 提供的密钥的生命周期和管理的方方面面,请参阅 Cloud KMS 文档中的客户管理的加密密钥 (CMEK)。如需查看指导您使用 Cloud KMS 管理密钥和加密数据的教程,请参阅快速入门Codelab

后续步骤