用戶端加密

本頁面討論「用戶端加密」，也就是將資料傳送到 Cloud Storage 之前執行的任何資料加密。

執行用戶端加密時，您必須建立並管理自己的加密金鑰，且必須在傳送到 Cloud Storage 前，使用自己的工具將資料加密。您在用戶端加密的資料會以加密狀態到達 Cloud Storage。Google Distributed Cloud (GDC) 實體隔離方案不會知道您用於加密資料的金鑰。

GDC 收到您的資料後會再次進行加密。這第二次加密稱為「伺服器端加密」，由 GDC 管理。擷取資料時，GDC 會移除伺服器端的加密層。您必須自行解密用戶端的加密層。

使用多種加密方法

視需求而定，您可以同時使用多種加密方式。例如：

• 使用 KMS 保護設備節點，並使用磁碟機安全功能雙重加密同一設備中自加密磁碟機上的資料。
• 使用 KMS 保護設備節點上的資料，並選擇在擷取所有物件時進行加密。

如果只有一小部分物件需要加密，建議改為在值區或個別物件層級控管加密作業。啟用多層加密功能會產生額外效能成本。

GDC 資料加密

GDC Storage 會在伺服器端加密資料，再將資料寫入磁碟，除了這項標準的 Google 代管行為之外，您也可以在使用 GDC Storage 時透過其他方式將資料加密。

您可以選擇用戶端加密，也就是在資料傳送至 GDC Storage 之前進行加密。這類送達至 GDC Storage 的資料已加密，但仍會進行伺服器端加密。