靜態資料加密

預設加密靜態資料,並提供多種金鑰管理選項

查看說明文件 查看主控台

選擇加密選項

在預設情況下,Google Cloud Platform 會為客戶所存放的靜態資料進行加密,您無需採取任何行動。為了滿足您的需求,我們提供了一系列加密金鑰管理選項。無論您是在考慮儲存、運算或大數據工作負載的解決方案,都可透過本頁說明為自己的金鑰產生、儲存和輪替作業選擇最符合需求的選項。我們認為資料安全性策略應納入加密機制,讓保護範圍更為全面。

Google Cloud Platform 中的資料會分成多個子檔案區塊以便儲存,每個區塊在儲存層級中都會以個別加密金鑰進行加密處理。用來加密區塊中資料的金鑰稱為資料加密金鑰 (DEK)。由於 Google 擁有大量金鑰,且需提供低延遲和高可用性的服務,因此這些金鑰會儲存在所加密的資料附近。DEK 會使用「金鑰加密金鑰」(KEK) 進行加密 (或稱為「包裝」)。對於做為資料保護機制的 DEK,客戶可選擇自己偏好的金鑰管理解決方案,管理用於保護 DEK 的 KEK。

各種加密方式
KMS 圖示
靜態資料加密選項
解決方案 說明 Google Cloud Platform 的提供情形 使用者通常用來保護的資料
預設採用加密機制 不必另行設定即可使用世界級的加密機制
  • 系統會在寫入磁碟前自動加密資料
  • 每個加密金鑰本身都會經由一組主金鑰加密
  • 金鑰和加密政策的管理方式,以及所位於的 KeyStore,皆與 Google 正式版服務相同
如要進一步瞭解預設加密機制,請參閱我們的白皮書
根據預設,所有 Google Cloud Platform 產品中的靜態資料皆會經過加密處理。參閱各產品的詳細資料 大部分的資料
使用 Cloud KMS 的客戶管理加密金鑰 (CMEK) 將金鑰儲存在雲端,以便透過雲端服務直接使用
  • 透過雲端託管解決方案管理金鑰
  • 您可以建立、輪替、自動輪替和銷毀對稱式加密金鑰

您可以在任何 Google Cloud Platform 產品中使用 Cloud KMS 的金鑰進行應用程式層加密

依規定您必須自己管理加密金鑰的機密資料
由客戶提供的加密金鑰 (CSEK) 將金鑰儲存在內部部署系統中,並用於加密雲端服務
  • 將您自己的加密金鑰用於 Google Cloud Platform 服務
  • Google 會在記憶體中使用金鑰,不會將金鑰寫入儲存空間
  • 您提供的金鑰會用於 API 服務呼叫
進一步瞭解客戶提供之加密金鑰 (CSEK) 的相關保護機制
依規定您必須自行產生加密金鑰,或在內部部署系統中管理金鑰的機密資料