Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Chiffrement de données et clés de chiffrement
Cette page fournit des informations sur le chiffrement des données sur Google Cloud et sur les clés de chiffrement.
Chiffrement du contenu en transit et au repos
Google Cloud active par défaut le chiffrement en transit pour chiffrer les requêtes avant la transmission et protéger les données brutes à l'aide du protocole TLS (Transport Layer Security).
Une fois les données transférées vers Google Cloud pour être stockées, Google Cloudapplique par défaut le chiffrement au repos. Pour mieux contrôler le chiffrement des données au repos, les clients deGoogle Cloud peuvent utiliser Cloud Key Management Service pour générer, utiliser, alterner et détruire des clés de chiffrement conformément à leurs propres règles. Ces clés sont appelées clés de chiffrement gérées par le client (CMEK).
Pour certains packages de contrôle, Assured Workloads peut déployer un projet CMEK en même temps que votre projet de ressources lorsque vous créez un dossier Assured Workloads.
Les clés de chiffrement gérées par le client ( Google-owned and Google-managed encryption keys), fournies par défaut, sont conformes à la norme FIPS-140-2 et sont compatibles avec la plupart des packages de contrôle dans Assured Workloads. Les clients peuvent supprimer le projet CMEK et s'appuyer uniquement sur Google-owned and Google-managed encryption keys. Toutefois, nous vous recommandons de prendre la décision d'utiliser ou non des clés CMEK avant de créer votre dossier Assured Workloads, car la suppression des clés CMEK en cours d'utilisation peut entraîner l'impossibilité d'accéder aux données ou de les récupérer.
Clés de chiffrement gérées par le client (CMEK)
Si vous avez besoin de plus de contrôle sur les clés utilisées pour chiffrer les données au repos dans un projetGoogle Cloud que celui fourni par le chiffrement par défaut de Google Cloud,les services Google Cloud offrent la possibilité de protéger les données à l'aide de clés de chiffrement gérées par le client dans Cloud KMS. Ces clés de chiffrement sont appelées clés de chiffrement gérées par le client (CMEK).
Pour connaître les aspects du cycle de vie et de la gestion des clés fournies par la fonctionnalité CMEK, consultez la page Clés de chiffrement gérées par le client (CMEK) de la documentation Cloud KMS. Pour accéder à un tutoriel qui vous guide dans la gestion des clés et des données chiffrées à l'aide de Cloud KMS, consultez le guide de démarrage rapide ou le codelab.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/10 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/10 (UTC)."],[[["\u003cp\u003eGoogle Cloud employs default encryption for data both in transit, using TLS, and at rest, ensuring data protection.\u003c/p\u003e\n"],["\u003cp\u003eCustomers can utilize Cloud Key Management Service (Cloud KMS) to create, manage, rotate, and destroy their own encryption keys, known as customer-managed encryption keys (CMEK), for enhanced control over data at rest.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads offers the option to deploy a CMEK project alongside a resources project for specific control packages, allowing customers more control over data encryption.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-owned and managed encryption keys, which are FIPS-140-2 compliant, are available as a default option and can support most control packages, but it is recommended that you choose between them or CMEK keys before creating your Assured Workloads folder.\u003c/p\u003e\n"],["\u003cp\u003eCloud KMS provides detailed information and guides on managing CMEK, including tutorials and quickstarts for users seeking to implement customer-managed encryption.\u003c/p\u003e\n"]]],[],null,["# Data encryption and encryption keys\n===================================\n\nThis page provides information about encryption of data on Google Cloud and\nabout encryption keys.\n\nEncryption in transit and at rest\n---------------------------------\n\nGoogle Cloud enables\n[encryption in transit](/security/encryption-in-transit) by default to encrypt\nrequests before transmission and to protect the raw data using the Transport\nLayer Security (TLS) protocol.\n\nOnce data is transferred to Google Cloud to be stored, Google Cloud\napplies [encryption at rest](/security/encryption/default-encryption) by\ndefault. To gain more control over how data is encrypted at rest,\nGoogle Cloud customers can use [Cloud Key Management Service](/kms) to generate, use,\nrotate, and destroy encryption keys according to their own policies. These keys\nare called customer-managed encryption keys ([CMEK](/kms/docs/cmek)).\n\nFor certain control packages, Assured Workloads can deploy a CMEK\nproject alongside your [resources project](/assured-workloads/docs/key-concepts#resources)\nwhen you create an Assured Workloads folder.\n\nAs an alternative to CMEK, Google-owned and Google-managed encryption keys, provided by default,\nare [FIPS-140-2](https://csrc.nist.gov/publications/detail/fips/140/2/final)\ncompliant and are able to support most control packages in\nAssured Workloads. Customers can delete the CMEK project and rely\nsolely on Google-owned and Google-managed encryption keys. We recommend, however, that you decide whether to\nuse CMEK keys before you create your Assured Workloads folder as\ndeletion of existing in-use CMEK can result in inability to access or recover\ndata.\n\nCustomer-managed encryption keys (CMEK)\n---------------------------------------\n\nIf you need more control over the keys used to encrypt data at rest within a\nGoogle Cloud project than what Google Cloud's default encryption\nprovides, Google Cloud services offer the ability to protect data by using\nencryption keys managed by the customer within Cloud KMS. These\nencryption keys are called customer-managed encryption keys (CMEK).\n\nTo learn which aspects of the lifecycle and management of your keys that CMEK\nprovides, see [Customer-managed encryption keys (CMEK)](/kms/docs/cmek) in\nCloud KMS documentation. For a tutorial that guides you through\nmanaging keys and encrypted data using Cloud KMS, see the\n[quickstart](/kms/docs/quickstart) or\n[codelab](https://codelabs.developers.google.com/codelabs/encrypt-and-decrypt-data-with-cloud-kms).\n\nWhat's next\n-----------\n\n- Learn more about [creating a symmetrical key with Cloud KMS](/kms/docs/creating-keys)."]]
