Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Crittografia dei dati e chiavi di crittografia
Questa pagina fornisce informazioni sulla crittografia dei dati su Google Cloud e sulle chiavi di crittografia.
Crittografia dei dati in transito e a riposo
Google Cloud attiva per impostazione predefinita la crittografia in transito per criptare le richieste prima della trasmissione e per proteggere i dati non elaborati mediante il protocollo TLS (Transport Layer Security).
Una volta che i dati vengono trasferiti in Google Cloud per essere archiviati, Google Cloud
viene applicata la crittografia dei dati inattivi per
impostazione predefinita. Per ottenere un maggiore controllo sulla crittografia dei dati a riposo,
Google Cloud i clienti possono utilizzare Cloud Key Management Service per generare, utilizzare,
ruotare e distruggere le chiavi di crittografia in base alle proprie norme. Queste chiavi
sono chiamate chiavi di crittografia gestite dal cliente (CMEK).
Per alcuni pacchetti di controllo, Assured Workloads può implementare un progetto CMEK insieme al tuo progetto di risorse quando crei una cartella Assured Workloads.
Come alternativa a CMEK, Google-owned and Google-managed encryption keys, forniti per impostazione predefinita,
sono conformi allo standard FIPS-140-2
e sono in grado di supportare la maggior parte dei pacchetti di controllo in
Assured Workloads. I clienti possono eliminare il progetto CMEK e fare affidamento unicamente su Google-owned and Google-managed encryption keys. Tuttavia, ti consigliamo di decidere se utilizzare le chiavi CMEK prima di creare la cartella Carichi di lavoro garantiti, poiché l'eliminazione delle chiavi CMEK esistenti in uso può comportare l'impossibilità di accedere o recuperare i dati.
Chiavi di crittografia gestite dal cliente (CMEK)
Se hai bisogno di un maggiore controllo sulle chiavi utilizzate per criptare i dati inattivi all'interno di un
Google Cloud progetto rispetto a quanto fornito dalla crittografia predefinita di Google Cloud, Google Cloud i servizi offrono la possibilità di proteggere i dati utilizzando
chiavi di crittografia gestite dal cliente all'interno di Cloud KMS. Queste sono chiamate chiavi di crittografia gestite dal cliente (CMEK).
Per scoprire quali aspetti del ciclo di vita e della gestione delle chiavi sono supportati dalle CMEK, consulta la sezione Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS. Per un tutorial che ti guida nella gestione delle chiavi e dei dati criptati utilizzando Cloud KMS, consulta la guida introduttiva o il codelab.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eGoogle Cloud employs default encryption for data both in transit, using TLS, and at rest, ensuring data protection.\u003c/p\u003e\n"],["\u003cp\u003eCustomers can utilize Cloud Key Management Service (Cloud KMS) to create, manage, rotate, and destroy their own encryption keys, known as customer-managed encryption keys (CMEK), for enhanced control over data at rest.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads offers the option to deploy a CMEK project alongside a resources project for specific control packages, allowing customers more control over data encryption.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-owned and managed encryption keys, which are FIPS-140-2 compliant, are available as a default option and can support most control packages, but it is recommended that you choose between them or CMEK keys before creating your Assured Workloads folder.\u003c/p\u003e\n"],["\u003cp\u003eCloud KMS provides detailed information and guides on managing CMEK, including tutorials and quickstarts for users seeking to implement customer-managed encryption.\u003c/p\u003e\n"]]],[],null,["# Data encryption and encryption keys\n===================================\n\nThis page provides information about encryption of data on Google Cloud and\nabout encryption keys.\n\nEncryption in transit and at rest\n---------------------------------\n\nGoogle Cloud enables\n[encryption in transit](/security/encryption-in-transit) by default to encrypt\nrequests before transmission and to protect the raw data using the Transport\nLayer Security (TLS) protocol.\n\nOnce data is transferred to Google Cloud to be stored, Google Cloud\napplies [encryption at rest](/security/encryption/default-encryption) by\ndefault. To gain more control over how data is encrypted at rest,\nGoogle Cloud customers can use [Cloud Key Management Service](/kms) to generate, use,\nrotate, and destroy encryption keys according to their own policies. These keys\nare called customer-managed encryption keys ([CMEK](/kms/docs/cmek)).\n\nFor certain control packages, Assured Workloads can deploy a CMEK\nproject alongside your [resources project](/assured-workloads/docs/key-concepts#resources)\nwhen you create an Assured Workloads folder.\n\nAs an alternative to CMEK, Google-owned and Google-managed encryption keys, provided by default,\nare [FIPS-140-2](https://csrc.nist.gov/publications/detail/fips/140/2/final)\ncompliant and are able to support most control packages in\nAssured Workloads. Customers can delete the CMEK project and rely\nsolely on Google-owned and Google-managed encryption keys. We recommend, however, that you decide whether to\nuse CMEK keys before you create your Assured Workloads folder as\ndeletion of existing in-use CMEK can result in inability to access or recover\ndata.\n\nCustomer-managed encryption keys (CMEK)\n---------------------------------------\n\nIf you need more control over the keys used to encrypt data at rest within a\nGoogle Cloud project than what Google Cloud's default encryption\nprovides, Google Cloud services offer the ability to protect data by using\nencryption keys managed by the customer within Cloud KMS. These\nencryption keys are called customer-managed encryption keys (CMEK).\n\nTo learn which aspects of the lifecycle and management of your keys that CMEK\nprovides, see [Customer-managed encryption keys (CMEK)](/kms/docs/cmek) in\nCloud KMS documentation. For a tutorial that guides you through\nmanaging keys and encrypted data using Cloud KMS, see the\n[quickstart](/kms/docs/quickstart) or\n[codelab](https://codelabs.developers.google.com/codelabs/encrypt-and-decrypt-data-with-cloud-kms).\n\nWhat's next\n-----------\n\n- Learn more about [creating a symmetrical key with Cloud KMS](/kms/docs/creating-keys)."]]