靜態資料加密

BigQuery 會在將所有資料寫入磁碟之前,自動加密資料,並在獲得授權的使用者讀取時自動解密資料。根據預設,Google 會管理用於保護您資料的金鑰加密金鑰。此外,您也可以使用由客戶管理的加密金鑰,並加密資料表中的個別值。

預設靜態資料加密

根據預設,Google 會使用強化金鑰管理系統來代您管理密碼編譯金鑰,這個系統與 Google 在自己的加密資料上使用的相同。這些系統包括嚴格的金鑰存取權控管與稽核措施。每個 BigQuery 物件的資料和中繼資料都使用進階加密標準 (AES) 進行加密。

客戶自行管理的加密金鑰

如果您想要自己管理靜態資料使用的金鑰加密金鑰,而不是讓 Google 管理金鑰,請使用金鑰管理服務來管理金鑰。這個情況中的金鑰稱為「客戶管理的加密金鑰」(CMEK)。如要進一步瞭解如何使用此功能,請參閱使用 Cloud KMS 金鑰保護資料一文。

加密資料表中的個別值

如果您想要加密 BigQuery 資料表中個別的值,請使用「附帶相關資料的驗證式加密」(AEAD) 加密函式。如果您希望將自己所有客戶的資料都保存在共用的資料表中,請使用 AEAD 函式,以不同的金鑰將每位客戶的資料加密。AEAD 加密函式是以 AES 為基礎。詳情請參閱標準 SQL 中的 AEAD 加密概念一文。

用戶端加密

用戶端加密與 BigQuery 靜態資料加密無關。如果您選擇使用用戶端加密技術,則必須負責管理用戶端金鑰和密碼編譯作業。您必須先將資料加密,再將資料寫入 BigQuery。在這種情況下,您的資料會被加密兩次,第一次是使用您的金鑰,第二次是使用 Google 金鑰。相同道理,從 BigQuery 讀取的資料會經過兩次解密,第一次是使用 Google 金鑰,第二次是使用您的金鑰。

傳輸中的資料

為了確保您的資料在讀寫作業期間於網際網路上傳輸時,能安全無虞,Google Cloud 會使用傳輸層安全標準 (HTTPS)。詳情請參閱 Google Cloud 傳輸中資料加密一文。

在 Google 資料中心內,您的資料在機器之間傳輸時會經過加密。

後續步驟

如要進一步瞭解 BigQuery 和其他 Google Cloud 產品的靜態資料加密,請參閱 Google Cloud 中的靜態資料加密相關說明。