数据加密和加密密钥

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本主题介绍 Google Cloud 上数据加密和加密密钥。

在传输过程中加密和静态加密

默认情况下,Google Cloud 会启用传输加密,以便在传输前加密请求,并使用传输层安全协议 (TLS) 保护原始数据。

将数据传输到 Google Cloud 进行存储后,默认情况下,Google Cloud 会应用静态加密。为了更好地控制静态加密数据的方式,Google Cloud 客户可以使用 Cloud Key Management Service 并根据自己的政策生成、使用、轮替和销毁加密密钥。这些密钥称为客户管理的加密密钥 (CMEK)

对于某些合规性制度,Assured Workloads 可以在创建工作负载环境期间部署 CMEK 项目以及资源项目

作为 CMEK 的替代方案,默认提供的 Google 管理的加密密钥符合 FIPS-140-2 标准,并且能够支持 FedRAMP 中等风险级别合规性。客户可以删除 CMEK 项目,仅依赖于 Google 管理的密钥。但是,我们建议您在创建 Assured Workloads 环境之前决定是否使用 CMEK 密钥,因为删除现用的 CMEK 可能会导致无法访问或恢复数据。

客户管理的加密密钥 (CMEK)

如果您需要更好地控制用于对 Google Cloud 项目中的静态数据进行加密的密钥,而不是 Google Cloud 的默认加密提供的密钥,则 Google Cloud 服务提供了使用客户在 Cloud KMS 中管理的加密密钥来保护数据的功能。这些加密密钥称为客户管理的加密密钥 (CMEK)。

如需了解 CMEK 提供的密钥的生命周期和管理的方方面面,请参阅 Cloud KMS 文档中的客户管理的加密密钥 (CMEK)。如需查看指导您使用 Cloud KMS 管理密钥和加密数据的教程,请参阅快速入门Codelab

后续步骤