靜態資料加密

自動加密靜態資料,並提供多種金鑰管理選項。

查看說明文件 查看主控台

選擇加密選項

在預設情況下,Google Cloud Platform 會為客戶所存放的靜態資料進行加密,您無需採取任何行動。為了滿足您的需求,我們提供了一系列加密金鑰管理選項。無論您是在考慮儲存、運算或巨量資料工作負載的解決方案,都可透過本頁說明為自己的金鑰產生、儲存和輪替作業選擇最符合需求的選項。我們認為資料安全性策略應納入加密機制,讓保護範圍更為全面。

Google Cloud Platform 中的資料會分成多個子檔案區塊以便儲存,每個區塊在儲存層級中都會以個別加密金鑰進行加密處理。用來加密區塊中資料的金鑰稱為資料加密金鑰 (DEK)。由於 Google 擁有大量金鑰,且需提供低延遲和高可用性的服務,這些金鑰會儲存在所加密的檔案附近。DEK 會使用主要加密金鑰 (KEK) 進行加密 (或稱為「包裝」)。對於做為資料保護機制的 DEK,客戶可選擇自己偏好的金鑰管理解決方案,管理用於保護 DEK 的 KEK。

加密主管
KMS 圖示
靜態資料加密選項
解決方案 說明 Google Cloud Platform 可用性 使用者通常用來保護的資料
預設採用加密機制 無需另行設定即可使用世界級的加密機制
  • 系統會在寫入磁碟前自動加密資料
  • 每個加密金鑰本身都會經由一組主金鑰加密
  • 金鑰和加密政策的管理方式相同,所在的 Keystore 也一樣 (與 Google 正式版服務相同)
關於預設加密的詳細內容請參閱我們的白皮書
在預設情況下,所有 Google Cloud Platform 產品中未使用的資料皆採用加密處理。 參閱特定產品的詳細資料 大部分的資料
使用 Cloud KMS 的客戶管理式加密金鑰 (CMEK) 將金鑰儲存在雲端,可透過雲端服務直接使用
  • 透過雲端平台代管式的解決方案管理金鑰
  • 您可以建立及刪除對稱式加密金鑰,也可以設定輪替和自動輪替功能

您可以在任何 Google Cloud Platform 產品中使用 Cloud KMS 的金鑰進行應用程式層加密

需要自己管理加密金鑰的機密資料
由客戶提供的加密金鑰 (CSEK) 將金鑰儲存在內部部署系統中,並用於進行雲端服務加密
  • 將您自己的加密金鑰用於 Google Cloud Platform 服務
  • Google 會在記憶體中使用金鑰,不會將金鑰寫入儲存空間
  • 您提供的金鑰會用於 API 服務呼叫
進一步瞭解 CSEK 的相關保護機制
必須自行產生加密金鑰或在內部部署系統中管理的機密資料