Nivel de detalle de la encriptación para los servicios de Google Cloud

Cada servicio de Google Cloud divide los datos en un nivel de detalle diferente para la encriptación. En este documento, se describe el nivel de detalle de la encriptación para el contenido de clientes de los servicios. El contenido de clientes corresponde a los datos que generas o nos proporcionas, como los datos almacenados en Cloud Storage, las instantáneas de disco que usan Compute Engine y las políticas de IAM. El contenido de clientes no incluye los metadatos de clientes, como sus nombres. En algunos servicios todos los metadatos se encriptan con una misma DEK.

Tipo Servicio de Google Cloud Nivel de detalle de la encriptación de datos de clientes (tamaño de los datos encriptados con una sola DEK)
Almacenamiento Bigtable Para cada fragmento de datos (varios para cada tabla)
Datastore Para cada fragmento de datos (no único para un solo cliente)
Firestore Para cada fragmento de datos (no único para un solo cliente)
Spanner Para cada fragmento de datos (varios para cada tabla)
Cloud SQL
  • Segunda generación: para cada instancia, como en Google Compute Engine (cada instancia podría contener varias bases de datos)
  • Primera generación: para cada instancia
Cloud Storage Para cada fragmento de datos (por lo general, de 256 KB a 8 MB)
Procesamiento App Engine Para cada fragmento de datos (no único para un solo cliente)

App Engine incluye el código y la configuración de la aplicación. Los datos que se usan en App Engine se almacenan en Datastore, Cloud SQL o Cloud Storage, según las opciones de configuración de los clientes.
Funciones de Cloud Run Para cada fragmento de datos (no un solo cliente),

las funciones de Cloud Run incluyen el código de las funciones, la configuración y los datos de eventos. Los datos de eventos se almacenan en Pub/Sub.
Compute Engine
  • Varios para cada disco
  • Para cada grupo de instantáneas, con rangos de instantáneas individuales derivados de la clave maestra del grupo de instantáneas
  • Para cada imagen
Google Kubernetes Engine en Google Cloud Varios para cada disco, como Compute Engine
Artifact Registry Almacenados en Cloud Storage para cada fragmento de datos
Análisis de datos BigQuery Una o más para cada tabla
Dataflow Almacenados en Cloud Storage para cada fragmento de datos
Dataproc Almacenados en Cloud Storage para cada fragmento de datos
Pub/Sub Se rotan cada 30 días (no son únicos para un solo cliente)

¿Qué sigue?

Obtén más información sobre la encriptación predeterminada en reposo.