Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page traite du chiffrement côté client, c'est-à-dire de tout chiffrement de données que vous effectuez avant d'envoyer des données à Cloud Storage.
Lorsque vous effectuez un chiffrement côté client, vous devez créer et gérer vos propres clés de chiffrement. Vous devez également chiffrer les données avec vos propres outils avant de les envoyer à Cloud Storage. Les données que vous chiffrez côté client arrivent sur Cloud Storage sous forme chiffrée.
Google Distributed Cloud (GDC) air-gapped n'a pas connaissance des clés que vous utilisez pour chiffrer les données.
Lorsque le CDG reçoit vos données, il les chiffre une seconde fois. Ce second chiffrement, géré par GDC, est appelé chiffrement côté serveur. Lorsque vous récupérez vos données, GDC supprime le niveau de chiffrement côté serveur. Vous devez déchiffrer vous-même le niveau côté client.
Utiliser plusieurs méthodes de chiffrement
Selon vos besoins, utilisez plusieurs méthodes de chiffrement à la fois. Exemple :
Utilisez un KMS pour protéger les nœuds de l'appliance et une fonctionnalité de sécurité des disques pour doublement chiffrer les données sur les disques à chiffrement automatique des mêmes appliances.
Utilisez un KMS pour sécuriser les données sur les nœuds de l'appliance et chiffrez tous les objets lors de leur ingestion.
Si seule une petite partie de vos objets nécessite un chiffrement, envisagez plutôt de contrôler le chiffrement au niveau du bucket ou de l'objet individuel.
L'activation de plusieurs niveaux de chiffrement entraîne un coût supplémentaire en termes de performances.
Chiffrement des données GDC
GDC Storage chiffre vos données côté serveur avant de les écrire sur le disque, sans frais supplémentaires. Outre ce comportement standard géré par Google, il existe d'autres moyens de chiffrer vos données lorsque vous utilisez GDC Storage.
Le chiffrement côté client est une option de chiffrement qui s'effectue avant que les données ne soient envoyées à GDC Storage.
Ces données arrivent sur GDC Storage chiffrées et font l'objet d'un chiffrement côté serveur.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eClient-side encryption involves encrypting data before sending it to Cloud Storage, requiring users to manage their own encryption keys and tools.\u003c/p\u003e\n"],["\u003cp\u003eData encrypted on the client side arrives at Google Distributed Cloud (GDC) in an encrypted state and is then encrypted a second time by GDC using server-side encryption.\u003c/p\u003e\n"],["\u003cp\u003eGDC has no knowledge of client-side encryption keys, making secure key management essential; losing these keys results in permanent data inaccessibility.\u003c/p\u003e\n"],["\u003cp\u003eMultiple encryption methods can be used simultaneously, such as combining KMS protection with drive security features, but enabling multiple levels of encryption has an additional performance cost.\u003c/p\u003e\n"],["\u003cp\u003eGDC encrypts data on the server side by default, but client side encryption offers another layer of encryption, before the data makes it to GDC.\u003c/p\u003e\n"]]],[],null,["# Client-side encryption\n\n| **Important:** To access the URLs listed on this page, you must connect to the internet. The URLs are provided to access outside of your air-gapped environment.\n\nThis page discusses *client-side encryption*, which is any data encryption\nyou perform prior to sending your data to Cloud Storage.\n\nWhen you perform client-side encryption, you must create and manage your own\nencryption keys, and use your own tools to encrypt data prior to\nsending it to Cloud Storage. Data that you encrypt on the client side\narrives at Cloud Storage in an encrypted state.\nGoogle Distributed Cloud (GDC) air-gapped has no knowledge of the keys you use to encrypt the\ndata.\n\nWhen GDC receives your data, it encrypts the data a\nsecond time. This second encryption is *server-side encryption*, which\nGDC manages. When you retrieve your data,\nGDC removes the server-side layer of encryption. You\nmust decrypt the client-side layer yourself.\n| **Warning:** GDC does not know if your data has already encrypted on the client side and has no knowledge of your client-side encryption keys. You must securely manage your client-side keys and ensure that they are not lost. If you lose your keys, you are no longer able to read your data. You continue to receive charges for storage of your objects until you delete them.\n\nUse multiple encryption methods\n-------------------------------\n\nDepending on your requirements, use more than one encryption method at\na time. For example:\n\n- Use a KMS to protect appliance nodes and also use a drive security feature to *double encrypt* data on the self-encrypting drives in the same appliances.\n- Use a KMS to secure data on appliance nodes and also an option to encrypt all objects when they are ingested.\n\nIf only a small portion of your objects require encryption, consider\ncontrolling encryption at the bucket or individual object level instead.\nEnabling multiple levels of encryption has an additional performance cost.\n\nGDC data encryption\n-------------------\n\nGDC Storage encrypts your data on the server side,\nbefore it writes the data to disk, at no additional charge. Besides this\nstandard, Google-managed behavior, there are additional ways to encrypt your\ndata when using GDC Storage.\n\nAn encryption option available to you is the client-side encryption, an\nencryption that occurs before data goes to GDC Storage.\nSuch data arrives at GDC Storage encrypted, and\nundergoes server-side encryption.\n| **Warning:** If you use client-side encryption, you must securely manage your keys and ensure they are not lost. If you lose your keys, you can no longer read your data. GDC continues to charge you for the storage of your objects until you delete them."]]
