每項 Google Cloud 服務會以不同的精細程度分割資料,進行預設的靜態加密。 本文說明服務的客戶內容預設加密精細程度。客戶內容是指您自行產生或提供給我們的資料,例如儲存在 Cloud Storage 中的資料、Compute Engine 使用的磁碟快照,以及 IAM 政策。客戶內容不包含客戶中繼資料,例如資源名稱。在某些服務中,所有中繼資料都是以同一組 DEK 加密。
如要進一步瞭解加密選項,包括允許邏輯資料分離的選項,請參閱「Google Cloud中的金鑰」。
| 類型 | Google Cloud service | 客戶資料加密作業的精細程度 (以單一 DEK 加密的資料大小表示) |
|---|---|---|
| 儲存空間 | Bigtable | 每一資料區塊 (每一資料表數個) |
| Datastore | 每個資料區塊 (不限於單一客戶) | |
| Firestore | 每個資料區塊 (不限於單一客戶) | |
| Spanner | 每一資料區塊 (每一資料表數個) | |
| Cloud SQL |
|
|
| Cloud Storage | 每一資料區塊 (通常 256 KB 至 8 MB) | |
| 運算 | App Engine | 針對每個資料區塊 (不限於單一客戶) App Engine 包含應用程式程式碼和應用程式設定。取決於客戶設定,App Engine 中使用的資料可能會儲存在 Datastore、Cloud SQL 或 Cloud Storage 中。 |
| Cloud Run 函式 | 針對每個資料區塊 (不屬於單一客戶) Cloud Run 函式包含函式程式碼、設定和事件資料。事件資料會儲存在 Pub/Sub 中。 |
|
| Compute Engine |
|
|
| Google Kubernetes Engine Google Cloud | 每個磁碟數個,例如 Compute Engine | |
| Artifact Registry | 儲存在 Cloud Storage 中,每一資料區塊 | |
| 資料分析 | BigQuery | 每個資料表至少要有一個 |
| Dataflow | 儲存在 Cloud Storage 中,每一資料區塊 | |
| Dataproc | 儲存在 Cloud Storage 中,每一資料區塊 | |
| Pub/Sub | 每 30 天進行輪替 (不同客戶可能會共用相同的金鑰) |
後續步驟
進一步瞭解預設靜態資料加密。