Granularidad del cifrado predeterminado de los servicios de Google Cloud

Cada servicio Google Cloud divide los datos a un nivel diferente de granularidad para el cifrado en reposo predeterminado. En este documento se describe la granularidad del cifrado predeterminado del contenido del cliente en los servicios. El contenido del cliente son los datos que generas por tu cuenta o que nos proporcionas, como los datos almacenados en Cloud Storage, las capturas de disco utilizadas por Compute Engine y las políticas de gestión de identidades y accesos. El contenido del cliente no incluye los metadatos del cliente (por ejemplo, los nombres de los recursos). En algunos servicios, se utiliza una única DEK para encriptar todos los metadatos.

Para obtener más información sobre las opciones de cifrado, incluidas las que permiten la separación lógica de datos, consulta Claves enGoogle Cloud.

Tipo Google Cloud servicio Granularidad del encriptado de datos del cliente (tamaño de los datos encriptados con una sola DEK)
Almacenamiento Bigtable Por fragmento de datos (varios por tabla)
Datastore Por cada fragmento de datos (no único para un solo cliente)
Firestore Por cada fragmento de datos (no único para un solo cliente)
Spanner Por fragmento de datos (varios por tabla)
Cloud SQL
  • Segunda generación: por instancia, como en Google Compute Engine (cada instancia podría contener varias bases de datos)
  • Primera generación: por instancia
Cloud Storage Por cada fragmento de datos (normalmente entre 256 kB y 8 MB)
Computación App Engine Por cada fragmento de datos (no único para un solo cliente),

App Engine incluye código de aplicación y ajustes de aplicación. Según las configuraciones del cliente, los datos utilizados en App Engine se almacenan en Datastore, Cloud SQL o Cloud Storage.
Cloud Run Functions Por cada fragmento de datos (no único para un solo cliente)

Cloud Run functions incluye el código de las funciones, los ajustes y los datos de eventos. Los datos de eventos se almacenan en Pub/Sub.
Compute Engine
  • Varios por disco
  • Por grupo de capturas, con intervalos de capturas concretos generados a partir de la clave maestra del grupo de capturas
  • Para cada imagen
Google Kubernetes Engine en Google Cloud Varios por disco, como en Compute Engine
Artifact Registry Almacenados en Cloud Storage, por cada fragmento de datos
Análisis de datos BigQuery Uno o varios por tabla
Dataflow Almacenados en Cloud Storage, por cada fragmento de datos
Dataproc Almacenados en Cloud Storage, por cada fragmento de datos
Pub/Sub Rotan cada 30 días (no son exclusivos de un solo cliente)

Siguientes pasos

Consulta más información sobre el cifrado en reposo predeterminado.