数据加密和加密密钥

本页介绍 Google Cloud 上数据加密和加密密钥。

传输加密和静态加密

默认情况下,Google Cloud 会启用传输加密,以便在传输前加密请求,并使用传输层安全协议 (TLS) 保护原始数据。

将数据传输到 Google Cloud 进行存储后,默认情况下,Google Cloud 会应用静态加密。为了更好地控制静态加密数据的方式,Google Cloud 客户可以使用 Cloud Key Management Service 并根据自己的政策生成、使用、轮替和销毁加密密钥。这些密钥称为客户管理的加密密钥 (CMEK)

对于某些控制包,Assured Workloads 可以部署 CMEK 项目以及资源项目 创建 Assured Workloads 文件夹时。

作为 CMEK 的替代方案,默认提供的 Google 拥有且由 Google 管理的密钥符合 FIPS-140-2 标准,并且能够支持 Assured Workloads 中的大多数控制包。客户可以删除 CMEK 项目 只能针对 Google 拥有的密钥和 Google 管理的密钥。不过,我们建议您 请使用 CMEK 密钥,然后再创建 Assured Workloads 文件夹, 删除正在使用的现有 CMEK 可能导致无法访问或恢复 数据。

客户管理的加密密钥 (CMEK)

如果您需要更好地控制用于对 Google Cloud 项目中的静态数据进行加密的密钥,而不是 Google Cloud 的默认加密提供的密钥,则 Google Cloud 服务提供了使用客户在 Cloud KMS 中管理的加密密钥来保护数据的功能。这些加密密钥称为客户管理的加密密钥 (CMEK)。

如需了解 CMEK 提供的密钥的生命周期和管理的方方面面,请参阅 Cloud KMS 文档中的客户管理的加密密钥 (CMEK)。如需查看指导您使用 Cloud KMS 管理密钥和加密数据的教程,请参阅快速入门Codelab

后续步骤