Firestore dalam mode Datastore otomatis mengenkripsi semua data sebelum ditulis ke disk. Tidak diperlukan penyiapan atau konfigurasi, dan Anda tidak perlu mengubah cara mengakses layanan. Data didekripsi secara otomatis dan transparan saat dibaca oleh pengguna yang diotorisasi.
Pengelolaan kunci
Dengan enkripsi sisi server, Anda dapat mengizinkan Google mengelola kunci kriptografis atas nama Anda atau menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengelola kunci sendiri.
Secara default, Google mengelola kunci kriptografis atas nama Anda menggunakan sistem pengelolaan kunci hasil hardening yang sama dengan yang kami gunakan untuk data terenkripsi kami sendiri, termasuk pengauditan dan kontrol akses kunci yang ketat. Data dan metadata setiap objek mode Datastore dienkripsi dan setiap kunci enkripsinya sendiri dienkripsi dengan kumpulan kunci master keystore yang dirotasi secara rutin.
Untuk mengetahui informasi tentang cara mengelola kunci sendiri, lihat CMEK untuk Datastore.
Enkripsi sisi klien
Enkripsi sisi server dapat digunakan bersama dengan enkripsi sisi klien. Dalam enkripsi sisi klien, Anda mengelola kunci enkripsi Anda sendiri dan mengenkripsi data sebelum menulisnya ke database. Dalam hal ini, data Anda dienkripsi dua kali, sekali dengan kunci Anda dan sekali dengan kunci sisi server.
Untuk melindungi data Anda saat data berpindah melalui Internet selama operasi baca dan tulis, kami menggunakan Transport Layer Security (TLS). Untuk mengetahui informasi selengkapnya tentang versi TLS yang didukung, lihat Enkripsi dalam pengiriman di Google Cloud.
Langkah selanjutnya
Untuk informasi selengkapnya tentang enkripsi dalam penyimpanan untuk Firestore dalam mode Datastore dan produk Google Cloud lainnya, lihat Enkripsi dalam Penyimpanan di Google Cloud.