Google Cloud の各サービスでは、暗号化のためそれぞれ異なる粒度でデータを分割しています。このドキュメントでは、サービスの顧客コンテンツの暗号化の粒度について説明します。顧客コンテンツとは、Cloud Storage に保存されているデータ、Compute Engine で使用されるディスク スナップショット、IAM ポリシーなど、お客様自身で作成または提供したデータです。顧客コンテンツには、リソース名などの顧客メタデータは含まれません。一部のサービスでは、すべてのメタデータが 1 つの DEK で暗号化されます。
| タイプ | Google Cloud サービス | 顧客データの暗号化の粒度(1 つの DEK で暗号化されるデータのサイズ) |
|---|---|---|
| ストレージ | Bigtable | データチャンクごと(テーブルごとに複数) |
| Datastore | データチャンクごと(お客様ごとに一意ではない) | |
| Firestore | データチャンクごと(お客様ごとに一意ではない) | |
| Spanner | データチャンクごと(テーブルごとに複数) | |
| Cloud SQL |
|
|
| Cloud Storage | データチャンクごと(通常は 256 KB~8 MB) | |
| コンピューティング | App Engine | データチャンクごと(お客様ごとに一意ではない) App Engine にはアプリケーション コードとアプリケーション設定が含まれます。App Engine で使用されるデータは、お客様の構成により、Datastore、Cloud SQL または Cloud Storage のいずれかに保存されます。 |
| Cloud Run functions | データチャンクごと(お客様ごとに一意ではない) Cloud Run functions には、関数コード、設定、イベントデータが含まれます。イベントデータは Pub/Sub に保存されます。 |
|
| Compute Engine |
|
|
| Google Cloud 上の Google Kubernetes Engine | ディスクごとに複数。Compute Engine と同様。 | |
| Artifact Registry | データチャンクごと。Cloud Storage に保存。 | |
| データの分析 | BigQuery | テーブルごとに 1 つ以上。 |
| Dataflow | データチャンクごと。Cloud Storage に保存。 | |
| Dataproc | データチャンクごと。Cloud Storage に保存。 | |
| Pub/Sub | 30 日ごとにローテーション(お客様 1 人に一意ではない) |
次のステップ
デフォルトの保存データの暗号化の詳細を確認する。