Granularität der Verschlüsselung für Google Cloud-Dienste

Je nach Google Cloud-Dienst werden die Daten mit unterschiedlichen Granularitätsstufen für die Verschlüsselung unterteilt. In diesem Dokument wird die Granularität der Verschlüsselung für Kundeninhalte für Dienste beschrieben. Kundeninhalte sind Daten, die Sie selbst generieren oder uns bereitstellen, z. B. in Cloud Storage gespeicherte Daten, von Compute Engine verwendete Laufwerk-Snapshots und IAM-Richtlinien. Kundeninhalte enthalten keine Kundenmetadaten wie Ressourcennamen. Bei einigen Diensten werden alle Metadaten mit einem einzigen DEK verschlüsselt.

Typ Google Cloud-Dienst Granularität der Verschlüsselung von Kundendaten (Größe der mit einem einzigen DEK verschlüsselten Daten)
Speicher Bigtable Für jeden Datenblock (mehrere für jede Tabelle)
Datastore Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)
Firestore Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)
Spanner Für jeden Datenblock (mehrere für jede Tabelle)
Cloud SQL
  • Zweite Generation: Für jede Instanz, wie in Google Compute Engine (jede Instanz kann mehrere Datenbanken enthalten)
  • Erste Generation: Für jede Instanz
Cloud Storage Für jeden Datenblock (in der Regel 256 KB bis 8 MB)
Computing App Engine Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)

App Engine enthält Anwendungscode und Anwendungseinstellungen. Die in App Engine verwendeten Daten werden je nach Kundenkonfiguration in Datastore, Cloud SQL oder Cloud Storage gespeichert.
Cloud Functions Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)

Cloud Functions enthält Funktionscode, Einstellungen und Ereignisdaten. Ereignisdaten werden in Pub/Sub gespeichert.
Compute Engine
  • Mehrere für jedes Laufwerk
  • Für jede Snapshot-Gruppe mit einzelnen Snapshot-Bereichen, die aus dem Masterschlüssel der Snapshot-Gruppe abgeleitet sind
  • Bei jedem Bild gilt
Google Kubernetes Engine in Google Cloud Mehrere für jedes Laufwerk wie Compute Engine
Artifact Registry In Cloud Storage für jeden Datenblock gespeichert
Datenanalyse BigQuery Mindestens eine pro Tabelle
Dataflow In Cloud Storage für jeden Datenblock gespeichert
Dataproc In Cloud Storage für jeden Datenblock gespeichert
Pub/Sub Rotiert alle 30 Tage (nicht für einen einzelnen Kunden eindeutig)

Nächste Schritte

Standardverschlüsselung inaktiver Daten