Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Claves de encriptado y encriptado de datos
En esta página se proporciona información sobre el cifrado de datos en Google Cloud y sobre las claves de cifrado.
Cifrado en tránsito y en reposo
Google Cloud habilita el cifrado en tránsito de forma predeterminada para cifrar las solicitudes antes de transmitirlas y para proteger los datos sin procesar mediante el protocolo Seguridad en la capa de transporte (TLS).
Una vez que los datos se han transferido a Google Cloud para almacenarse, Google Cloud
aplica el cifrado en reposo de forma
predeterminada. Para tener más control sobre cómo se cifran los datos en reposo,Google Cloud los clientes pueden usar Cloud Key Management Service para generar, usar, rotar y destruir claves de cifrado según sus propias políticas. Estas claves se denominan claves de cifrado gestionadas por el cliente (CMEK).
En el caso de determinados paquetes de control, Assured Workloads puede implementar un proyecto de CMEK junto con tu proyecto de recursos al crear una carpeta de Assured Workloads.
Como alternativa a las CMEK,las Google-owned and Google-managed encryption keys, que se proporcionan de forma predeterminada, cumplen el estándar FIPS-140-2 y pueden admitir la mayoría de los paquetes de control de Assured Workloads. Los clientes pueden eliminar el proyecto de CMEK y depender únicamente de Google-owned and Google-managed encryption keys. Sin embargo, te recomendamos que decidas si quieres usar claves de cifrado gestionadas por el cliente antes de crear tu carpeta de Assured Workloads, ya que, si eliminas una clave de cifrado gestionada por el cliente que esté en uso, es posible que no puedas acceder a los datos ni recuperarlos.
Claves de encriptado gestionadas por el cliente (CMEK)
Si necesitas más control sobre las claves que se usan para cifrar los datos en reposo de un proyecto que el que proporciona el cifrado predeterminado,los servicios ofrecen la posibilidad de proteger los datos mediante claves de cifrado gestionadas por el cliente en Cloud KMS.Google Cloud Google CloudGoogle Cloud Estas claves de cifrado se denominan claves de cifrado gestionadas por el cliente (CMEK).
Para saber qué aspectos del ciclo de vida y la gestión de tus claves proporciona CMEK, consulta el artículo Claves de cifrado gestionadas por el cliente (CMEK) en la documentación de Cloud KMS. Para ver un tutorial que te guíe por el proceso de gestión de claves y datos encriptados con Cloud KMS, consulta el inicio rápido o el codelab.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[[["\u003cp\u003eGoogle Cloud employs default encryption for data both in transit, using TLS, and at rest, ensuring data protection.\u003c/p\u003e\n"],["\u003cp\u003eCustomers can utilize Cloud Key Management Service (Cloud KMS) to create, manage, rotate, and destroy their own encryption keys, known as customer-managed encryption keys (CMEK), for enhanced control over data at rest.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads offers the option to deploy a CMEK project alongside a resources project for specific control packages, allowing customers more control over data encryption.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-owned and managed encryption keys, which are FIPS-140-2 compliant, are available as a default option and can support most control packages, but it is recommended that you choose between them or CMEK keys before creating your Assured Workloads folder.\u003c/p\u003e\n"],["\u003cp\u003eCloud KMS provides detailed information and guides on managing CMEK, including tutorials and quickstarts for users seeking to implement customer-managed encryption.\u003c/p\u003e\n"]]],[],null,["# Data encryption and encryption keys\n===================================\n\nThis page provides information about encryption of data on Google Cloud and\nabout encryption keys.\n\nEncryption in transit and at rest\n---------------------------------\n\nGoogle Cloud enables\n[encryption in transit](/security/encryption-in-transit) by default to encrypt\nrequests before transmission and to protect the raw data using the Transport\nLayer Security (TLS) protocol.\n\nOnce data is transferred to Google Cloud to be stored, Google Cloud\napplies [encryption at rest](/security/encryption/default-encryption) by\ndefault. To gain more control over how data is encrypted at rest,\nGoogle Cloud customers can use [Cloud Key Management Service](/kms) to generate, use,\nrotate, and destroy encryption keys according to their own policies. These keys\nare called customer-managed encryption keys ([CMEK](/kms/docs/cmek)).\n\nFor certain control packages, Assured Workloads can deploy a CMEK\nproject alongside your [resources project](/assured-workloads/docs/key-concepts#resources)\nwhen you create an Assured Workloads folder.\n\nAs an alternative to CMEK, Google-owned and Google-managed encryption keys, provided by default,\nare [FIPS-140-2](https://csrc.nist.gov/publications/detail/fips/140/2/final)\ncompliant and are able to support most control packages in\nAssured Workloads. Customers can delete the CMEK project and rely\nsolely on Google-owned and Google-managed encryption keys. We recommend, however, that you decide whether to\nuse CMEK keys before you create your Assured Workloads folder as\ndeletion of existing in-use CMEK can result in inability to access or recover\ndata.\n\nCustomer-managed encryption keys (CMEK)\n---------------------------------------\n\nIf you need more control over the keys used to encrypt data at rest within a\nGoogle Cloud project than what Google Cloud's default encryption\nprovides, Google Cloud services offer the ability to protect data by using\nencryption keys managed by the customer within Cloud KMS. These\nencryption keys are called customer-managed encryption keys (CMEK).\n\nTo learn which aspects of the lifecycle and management of your keys that CMEK\nprovides, see [Customer-managed encryption keys (CMEK)](/kms/docs/cmek) in\nCloud KMS documentation. For a tutorial that guides you through\nmanaging keys and encrypted data using Cloud KMS, see the\n[quickstart](/kms/docs/quickstart) or\n[codelab](https://codelabs.developers.google.com/codelabs/encrypt-and-decrypt-data-with-cloud-kms).\n\nWhat's next\n-----------\n\n- Learn more about [creating a symmetrical key with Cloud KMS](/kms/docs/creating-keys)."]]
