客户端加密

本页面讨论了客户端加密，即在数据发送到 Cloud Storage 之前执行的任何数据加密。

执行客户端加密功能时，您必须创建和管理自己的加密密钥，并且，在将数据发送到 Cloud Storage 之前，您必须使用您自己的工具对数据进行加密。您在客户端加密的数据将以加密状态到达 Cloud Storage。Google Distributed Cloud (GDC) air-gapped 不知道您用于加密数据的密钥。

当 GDC 接收到您的数据时，数据会被再次加密。第二次加密是服务器端加密，由 GDC 管理。检索数据时，GDC 会移除服务器端加密层。您必须自行解密客户端加密层。

使用多种加密方法

您可以根据自己的需求同时使用多种加密方法。例如：

• 使用 KMS 保护设备节点，同时使用驱动器安全功能对同一设备中自加密驱动器上的数据进行双重加密。
• 使用 KMS 来保护设备节点上的数据，还可以选择在提取所有对象时对其进行加密。

如果只有一小部分对象需要加密，请考虑在存储桶或单个对象级别控制加密。启用多级加密会产生额外的性能开销。

GDC 数据加密

GDC Storage 在将数据写入磁盘之前，会在服务器端对数据进行加密，并且对此不收取额外费用。除了这种 Google 管理的标准行为外，您在使用 GDC Storage 时，还可以使用其他方法加密数据。

您可以选择客户端加密功能，即在数据进入 GDC Storage 之前执行的加密。 此类数据在到达 GDC Storage 时已进行加密，并会进行服务器端加密。