Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O Firestore no modo Datastore criptografa automaticamente todos os dados antes que eles sejam gravados no disco.
Não é necessário instalação ou configuração. Também não é necessário acessar o serviço de outra maneira. Os dados são descriptografados de maneira automática e transparente quando um usuário autorizado os lê.
Gerenciamento de chaves
Com a criptografia do lado do servidor, você pode permitir que o Google gerencie as chaves criptográficas em seu nome ou usar chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar as chaves por conta própria.
Por padrão, o Google gerencia as chaves criptográficas por você usando os mesmos
sistemas de gerenciamento de chaves com aumento da proteção que usamos para nossos próprios dados criptografados,
incluindo auditoria e controles rígidos de acesso por chave. Todos os dados e metadados dos objetos do modo Datastore
são criptografados, e cada chave de criptografia é
criptografada com um conjunto de chaves mestras do keystore alternadas regularmente.
Para informações sobre como gerenciar as chaves, consulte
CMEK para Datastore.
Criptografia do lado do cliente
É possível combinar a criptografia no servidor com a criptografia no cliente.
Na criptografia no cliente, você é o responsável por gerenciar suas chaves de criptografia e dados criptografados antes de gravá-los no banco de dados. Nesse caso, os dados são
criptografados duas vezes: a primeira com suas chaves e a segunda com as chaves do servidor.
Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação,
usamos o protocolo Transport Layer Security (TLS). Para mais informações sobre
as versões de TLS compatíveis, consulte Criptografia em trânsito no Google Cloud.
A seguir
Para mais informações sobre criptografia em repouso para o Firestore no modo Datastore e
outros produtos Google Cloud , consulte
Criptografia em repouso no Google Cloud.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[[["\u003cp\u003eFirestore in Datastore mode automatically encrypts all data before writing it to disk, without requiring any setup or configuration.\u003c/p\u003e\n"],["\u003cp\u003eServer-side encryption allows for either Google-managed cryptographic keys or customer-managed encryption keys (CMEK), providing flexibility in key management.\u003c/p\u003e\n"],["\u003cp\u003eClient-side encryption can be used in combination with server-side encryption, resulting in double encryption, but it necessitates secure management of user's own encryption keys.\u003c/p\u003e\n"],["\u003cp\u003eData in transit is protected using Transport Layer Security (TLS) during read and write operations.\u003c/p\u003e\n"],["\u003cp\u003eEach Datastore object's data and metadata are encrypted, and each encryption key is further encrypted with a regularly rotated set of keystore master keys.\u003c/p\u003e\n"]]],[],null,["# Server-Side Encryption\n\nFirestore in Datastore mode automatically encrypts all data before it is written to disk.\nThere is no setup or configuration required and no need to modify the way you\naccess the service. The data is automatically and transparently decrypted when\nread by an authorized user.\n\nKey management\n--------------\n\nWith server-side encryption, you can either let Google manage cryptographic keys on your\nbehalf or use customer-managed encryption keys (CMEK) to manage the keys\nyourself.\n\nBy default, Google manages cryptographic keys on your behalf using the same\nhardened key management systems that we use for our own encrypted data,\nincluding strict key access controls and auditing. Each Datastore mode\nobject's data and metadata is [encrypted](/security/encryption/default-encryption) and each encryption key is itself\nencrypted with a regularly rotated set of keystore master keys.\n\nFor information about managing the keys yourself, see\n[CMEK for Datastore](/datastore/docs/cmek).\n\nClient-side encryption\n----------------------\n\nServer-side encryption can be used in combination with client-side encryption.\nIn client-side encryption, you manage your own encryption keys and encrypt data\nbefore writing it to your database. In this case, your data is\nencrypted twice, once with your keys and once with the server-side keys.\n| **Warning:** Firestore in Datastore mode does not know if your data has already been encrypted client-side, nor does Datastore mode have any knowledge of your client-side encryption keys. If you use client-side encryption, you must securely manage your encryption keys.\n\nTo protect your data as it travels over the Internet during read and write\noperations, we use Transport Layer Security (TLS). For more information about\nthe supported TLS versions, see [Encryption in transit in Google Cloud](/docs/security/encryption-in-transit#user_to_google_front_end_encryption).\n\nWhat's next\n-----------\n\nFor more information about encryption at rest for Firestore in Datastore mode and\nother Google Cloud products, see\n[Encryption at Rest in Google Cloud](/security/encryption/default-encryption)."]]
