Google Cloud サービスのデフォルトの暗号化の粒度

各 Google Cloud サービスは、デフォルトの保存データの暗号化のために、異なる粒度でデータを分割します。このドキュメントでは、サービスの顧客コンテンツに対するデフォルトでの暗号化の粒度について説明します。顧客コンテンツとは、Cloud Storage に保存されているデータ、Compute Engine で使用されるディスク スナップショット、IAM ポリシーなど、お客様自身で作成または提供したデータです。顧客コンテンツには、リソース名などの顧客メタデータは含まれません。一部のサービスでは、すべてのメタデータが 1 つの DEK で暗号化されます。

データの論理的分離を許可するオプションなど、暗号化オプションの詳細については、Google Cloudの鍵をご覧ください。

タイプ Google Cloud サービス 顧客データの暗号化の粒度(1 つの DEK で暗号化されるデータのサイズ)
ストレージ Bigtable データチャンクごと(テーブルごとに複数)
Datastore データチャンクごと(お客様ごとに一意ではない)
Firestore データチャンクごと(お客様ごとに一意ではない)
Spanner データチャンクごと(テーブルごとに複数)
Cloud SQL
  • 第 2 世代: インスタンスンスタンごと。Google Compute Engine と同様(各インスタンスには複数のデータベースを格納可能)
  • 第 1 世代: インスタンスごと
Cloud Storage データチャンクごと(通常は 256 KB~8 MB)
コンピューティング App Engine データチャンクごと(お客様ごとに一意ではない)

App Engine にはアプリケーション コードとアプリケーション設定が含まれます。App Engine で使用されるデータは、お客様の構成により、Datastore、Cloud SQL または Cloud Storage のいずれかに保存されます。
Cloud Run functions データチャンクごと(お客様ごとに一意ではない)

Cloud Run functions には、関数コード、設定、イベントデータが含まれます。イベントデータは Pub/Sub に保存されます。
Compute Engine
  • ディスクごとに複数
  • スナップショット グループごとに、スナップショット グループ マスター鍵から派生した個別のスナップショット範囲を使用
  • イメージごと
Google Cloudの Google Kubernetes Engine ディスクごとに複数。Compute Engine と同様。
Artifact Registry データチャンクごと。Cloud Storage に保存。
データの分析 BigQuery テーブルごとに 1 つ以上。
Dataflow データチャンクごと。Cloud Storage に保存。
Dataproc データチャンクごと。Cloud Storage に保存。
Pub/Sub 30 日ごとにローテーション(お客様 1 人に一意ではない)

次のステップ

デフォルトの保存データの暗号化の詳細を確認する。