靜態資料加密

BigQuery 會在將所有資料寫入磁碟之前,自動加密資料,並在獲得授權的使用者讀取時自動解密資料。根據預設,Google 會管理用於保護您資料的金鑰加密金鑰。此外,您也可以使用由客戶管理的加密金鑰,並加密資料表中的個別值。

預設靜態資料加密

根據預設,Google 會使用與我們加密資料時所使用的相同強化金鑰管理系統,代表您管理加密編譯金鑰,相關系統包括嚴格的金鑰存取權控管與稽核措施。每個 BigQuery 物件的資料和中繼資料都使用進階加密標準 (AES) 進行加密,且每個金鑰加密金鑰都會透過一組定期輪替的主要金鑰自行加密。

客戶管理的加密金鑰

如果您想要管理靜態資料所使用的金鑰加密金鑰,而非由 Google 管理金鑰,請使用 Cloud Key Management Service 來管理金鑰。這個應用方案稱為「客戶管理的加密金鑰」(CMEK)。如要進一步瞭解如何使用此功能,請參閱使用 Cloud KMS 金鑰保護資料一文。

加密資料表中的個別值

如果您想要加密 BigQuery 資料表中的個別值,請使用「用於相關資料的驗證加密」(AEAD) 加密函式。如果您希望將自己的所有客戶資料保存在通用資料表中,請使用 AEAD 函式以不同金鑰為每位客戶的資料加密。AEAD 加密函式是以 AES 為基礎。詳情請參閱標準 SQL 中的 AEAD 加密概念一文。

用戶端加密

客戶端加密與靜態的 BigQuery 加密是分開的。如果您選擇使用用戶端加密,則必須負責管理用戶端金鑰和加密編譯作業。您必須先將資料加密,再將資料寫入 BigQuery。在這種情況下,您的資料會被加密兩次,第一次是使用您的金鑰,第二次是使用 Google 金鑰。相同道理,從 BigQuery 讀取的資料會經過兩次解密,第一次是使用 Google 金鑰,第二次是使用您的金鑰。

傳輸中的資料

為了確保您的資料在網際網路上傳輸讀寫作業時能安全無虞,GCP 會使用傳輸層安全標準 (TLS) (HTTPS)。詳情請參閱 GCP 中的傳輸加密一文。

在 Google 資料中心內,您的資料在機器之間傳輸時會經過加密。

後續步驟

如要進一步瞭解 BigQuery 和其他 GCP 產品的靜態資料加密,請參閱 GCP 中的靜態加密一文。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁