Je nach Google Cloud-Dienst werden die Daten mit unterschiedlichen Granularitätsstufen für die Verschlüsselung unterteilt. In diesem Dokument wird die Granularität der Verschlüsselung für Kundeninhalte für Dienste beschrieben. Kundeninhalte sind Daten, die Sie selbst generieren oder uns bereitstellen, z. B. in Cloud Storage gespeicherte Daten, von Compute Engine verwendete Laufwerk-Snapshots und IAM-Richtlinien. Kundeninhalte enthalten keine Kundenmetadaten wie Ressourcennamen. Bei einigen Diensten werden alle Metadaten mit einem einzigen DEK verschlüsselt.
| Typ | Google Cloud-Dienst | Granularität der Verschlüsselung von Kundendaten (Größe der mit einem einzigen DEK verschlüsselten Daten) |
|---|---|---|
| Speicher | Bigtable | Für jeden Datenblock (mehrere für jede Tabelle) |
| Datastore | Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig) | |
| Firestore | Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig) | |
| Spanner | Für jeden Datenblock (mehrere für jede Tabelle) | |
| Cloud SQL |
|
|
| Cloud Storage | Für jeden Datenblock (in der Regel 256 KB bis 8 MB) | |
| Computing | App Engine | Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig) App Engine enthält Anwendungscode und Anwendungseinstellungen. Die in App Engine verwendeten Daten werden je nach Kundenkonfiguration in Datastore, Cloud SQL oder Cloud Storage gespeichert. |
| Cloud Run-Funktionen | Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig) Cloud Run-Funktionen enthalten Funktionscode, Einstellungen und Ereignisdaten. Ereignisdaten werden in Pub/Sub gespeichert. |
|
| Compute Engine |
|
|
| Google Kubernetes Engine in Google Cloud | Mehrere für jedes Laufwerk wie Compute Engine | |
| Artifact Registry | In Cloud Storage für jeden Datenblock gespeichert | |
| Datenanalyse | BigQuery | Mindestens eine pro Tabelle |
| Dataflow | In Cloud Storage für jeden Datenblock gespeichert | |
| Dataproc | In Cloud Storage für jeden Datenblock gespeichert | |
| Pub/Sub | Rotiert alle 30 Tage (nicht für einen einzelnen Kunden eindeutig) |
Nächste Schritte
Standardverschlüsselung inaktiver Daten