Datenverschlüsselung und Verschlüsselungsschlüssel
Diese Seite enthält Informationen zur Verschlüsselung von Daten in Google Cloud und zu Verschlüsselungsschlüsseln.
Verschlüsselung für gespeicherte und übertragene Daten
Google Cloud aktiviert die Verschlüsselung bei der Übertragung standardmäßig, um Anfragen vor der Übertragung zu verschlüsseln und die Rohdaten mit dem TLS-Protokoll (Transport Layer Security) zu schützen.
Sobald die Daten zur Speicherung in Google Cloud übertragen wurden, wendet Google Cloud standardmäßig die Verschlüsselung ruhender Daten an. Um mehr Kontrolle darüber zu erhalten, wie ruhende Daten verschlüsselt werden, können Google Cloud-Kunden Cloud Key Management Service verwenden, um Verschlüsselungsschlüssel gemäß ihren eigenen Richtlinien zu generieren, zu verwenden, zu rotieren und zu löschen. Diese Schlüssel heißen daher vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
Für bestimmte Kontrollpakete kann Assured Workloads einen CMEK bereitstellen parallel zu Ihrem Ressourcenprojekt wenn Sie einen Assured Workloads-Ordner erstellen.
Als Alternative zu CMEK können Google-eigene und von Google verwaltete Schlüssel, die standardmäßig bereitgestellt werden, sind FIPS-140-2 sind konform und unterstützen die meisten Kontrollpakete in Assured Workloads. Kunden können das CMEK-Projekt löschen und sich ausschließlich auf von Google gehörenden und von Google verwalteten Schlüsseln. Wir empfehlen Ihnen jedoch, zu entscheiden, CMEK-Schlüssel verwenden, bevor Sie Ihren Assured Workloads-Ordner als Das Löschen eines vorhandenen CMEK in Verwendung kann dazu führen, dass der Zugriff auf oder die Wiederherstellung nicht möglich ist Daten.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Wenn Sie in einem Google Cloud-Projekt mehr Kontrolle über die Schlüssel brauchen, die zur Verschlüsselung von ruhenden Daten verwendet werden, als bei der Standardverschlüsselung von Google Cloud verfügbar ist, bieten Google Cloud-Dienste die Möglichkeit, Daten mit vom Kunden in Cloud KMS verwalteten Verschlüsselungsschlüsseln zu schützen. Diese Verschlüsselungsschlüssel heißen vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).
Informationen zu den Aspekten des Lebenszyklus und der Verwaltung Ihrer Schlüssel, für die CMEKs genutzt werden können, finden Sie in der Cloud KMS-Dokumentation unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs). Eine Anleitung zur Verwaltung von Schlüsseln und verschlüsselten Daten mit Cloud KMS finden Sie in der Kurzanleitung oder im Codelab.