サーバー側での暗号化

Datastore モードの Firestore は、ディスクに書き込む前にすべてのデータを自動的に暗号化します。設定や構成は必要なく、サービスへのアクセス方法を変更する必要もありません。承認済みのユーザーがデータを読み取る際に、データは自動的かつ透過的に復号されます。

鍵管理

サーバーサイドの暗号化では、Google に暗号鍵の管理を任せるか、顧客管理の暗号鍵(CMEK)を使用して自分で鍵を管理することができます。

デフォルトでは、Google 独自の暗号化データに使用するのと同じ堅牢な鍵管理システム(厳格なアクセス管理や監査を含む)を使用して、ユーザーの代わりに暗号鍵を管理します。各 Datastore モード オブジェクトのデータとメタデータは暗号化され、暗号鍵自体も定期的にローテーションされるキーストア マスターキーによって暗号化されます。

鍵を自分で管理する方法については、Datastore の CMEK をご覧ください。

クライアントサイド暗号化

サーバー側の暗号化は、クライアント側の暗号化と組み合わせて使用できます。クライアント側の暗号化では、クライアント側で独自の暗号鍵を管理し、データをデータベースに書き込む前に暗号化できます。この場合、データはクライアント側の鍵で 1 回、サーバーサイドの鍵で 1 回暗号化されるため、合計で 2 回暗号化されます。

読み取り / 書き込みオペレーション中にインターネット上で転送されるデータを保護するために、Transport Layer Security(TLS)を使用しています。 サポートされている TLS バージョンの詳細については、Google Cloud での転送データの暗号化をご覧ください。

次のステップ

Datastore モードの Firestore や他の Google Cloud プロダクトでの保存データの暗号化の詳細については、Google Cloud での保存データの暗号化をご覧ください。