Datastore モードの Firestore は、ディスクに書き込む前にすべてのデータを自動的に暗号化します。設定や構成は必要なく、サービスへのアクセス方法を変更する必要もありません。承認済みのユーザーがデータを読み取る際に、データは自動的かつ透過的に復号されます。
サーバー側の暗号化では、Google が独自の暗号化データに使用するものと同じ堅牢な鍵管理システム(厳格なアクセス管理や監査を含む)を使用して、ユーザーの代わりに暗号鍵を管理します。各 Datastore モード オブジェクトのデータとメタデータは AES で暗号化され、暗号鍵自体も定期的にローテーションされるマスターキーによって暗号化されます。
サーバー側の暗号化は、クライアント側の暗号化と組み合わせて使用できます。クライアント側の暗号化では、クライアント側で独自の暗号鍵を管理し、データをデータベースに書き込む前に暗号化できます。この場合、データはクライアント側の鍵で 1 回、Google の鍵で 1 回暗号化されるため、合計で 2 回暗号化されます。
読み取り / 書き込みオペレーション中にインターネット上で転送されるデータを保護するために、Transport Layer Security(TLS)を使用しています。
次のステップ
Datastore モードの Firestore や他の Google Cloud Platform プロダクトでの保存データの暗号化の詳細については、Google Cloud Platform での保存データの暗号化をご覧ください。