数据加密和加密密钥

本页面介绍了 Google Cloud 上的数据加密以及加密密钥。

传输加密和静态加密

默认情况下,Google Cloud 会启用传输加密,以便在传输前加密请求,并使用传输层安全协议 (TLS) 保护原始数据。

将数据传输到 Google Cloud 进行存储后,默认情况下,Google Cloud 会应用静态加密。为了更好地控制静态加密数据的方式,Google Cloud 客户可以使用 Cloud Key Management Service 并根据自己的政策生成、使用、轮替和销毁加密密钥。这些密钥称为客户管理的加密密钥 (CMEK)

对于某些控制包,当您创建 Assured Workloads 文件夹时,Assured Workloads 可将 CMEK 项目与您的资源项目一起部署。

作为 CMEK 的替代方案,Google 拥有的密钥和由 Google 管理的密钥(默认提供)符合 FIPS-140-2 标准,并且能够支持 Assured Workloads 中的大多数控制包。客户可以删除 CMEK 项目,并且仅依赖于 Google 拥有的密钥和 Google 管理的密钥。但是,我们建议您在创建 Assured Workloads 文件夹之前决定是否使用 CMEK 密钥,因为删除正在使用的现有 CMEK 可能会导致无法访问或恢复数据。

客户管理的加密密钥 (CMEK)

如果您需要更好地控制用于对 Google Cloud 项目中的静态数据进行加密的密钥,而不是 Google Cloud 的默认加密提供的密钥,则 Google Cloud 服务提供了使用客户在 Cloud KMS 中管理的加密密钥来保护数据的功能。这些加密密钥称为客户管理的加密密钥 (CMEK)。

如需了解 CMEK 提供的密钥的生命周期和管理的方方面面,请参阅 Cloud KMS 文档中的客户管理的加密密钥 (CMEK)。如需查看指导您使用 Cloud KMS 管理密钥和加密数据的教程,请参阅quickstartCodelab

后续步骤