各 Google Cloud サービスは、デフォルトの保存データの暗号化のために、異なる粒度でデータを分割します。このドキュメントでは、サービスの顧客コンテンツに対するデフォルトでの暗号化の粒度について説明します。顧客コンテンツとは、Cloud Storage に保存されているデータ、Compute Engine で使用されるディスク スナップショット、IAM ポリシーなど、お客様自身で作成または提供したデータです。顧客コンテンツには、リソース名などの顧客メタデータは含まれません。一部のサービスでは、すべてのメタデータが 1 つの DEK で暗号化されます。
データの論理的分離を許可するオプションなど、暗号化オプションの詳細については、Google Cloudの鍵をご覧ください。
| タイプ | Google Cloud サービス | 顧客データの暗号化の粒度(1 つの DEK で暗号化されるデータのサイズ) |
|---|---|---|
| ストレージ | Bigtable | データチャンクごと(テーブルごとに複数) |
| Datastore | データチャンクごと(お客様ごとに一意ではない) | |
| Firestore | データチャンクごと(お客様ごとに一意ではない) | |
| Spanner | データチャンクごと(テーブルごとに複数) | |
| Cloud SQL |
|
|
| Cloud Storage | データチャンクごと(通常は 256 KB~8 MB) | |
| コンピューティング | App Engine | データチャンクごと(お客様ごとに一意ではない) App Engine にはアプリケーション コードとアプリケーション設定が含まれます。App Engine で使用されるデータは、お客様の構成により、Datastore、Cloud SQL または Cloud Storage のいずれかに保存されます。 |
| Cloud Run functions | データチャンクごと(お客様ごとに一意ではない) Cloud Run functions には、関数コード、設定、イベントデータが含まれます。イベントデータは Pub/Sub に保存されます。 |
|
| Compute Engine |
|
|
| Google Cloudの Google Kubernetes Engine | ディスクごとに複数。Compute Engine と同様。 | |
| Artifact Registry | データチャンクごと。Cloud Storage に保存。 | |
| データの分析 | BigQuery | テーブルごとに 1 つ以上。 |
| Dataflow | データチャンクごと。Cloud Storage に保存。 | |
| Dataproc | データチャンクごと。Cloud Storage に保存。 | |
| Pub/Sub | 30 日ごとにローテーション(お客様 1 人に一意ではない) |
次のステップ
デフォルトの保存データの暗号化の詳細を確認する。