数据加密

Cloud Storage 在将数据写入磁盘之前，始终会在服务器端对您的数据进行加密，无需额外费用。除了Google 管理的此种标准行为外，您在使用 Cloud Storage 时，还可以使用其他方法加密数据。

在您的站点与云服务商之间或在两个服务之间迁移数据时，如果通信遭到拦截，传输加密可保护您的数据。这种保护是通过在传输之前加密数据，对端点进行身份验证，并在抵达时解密和验证数据来实现的。

使用中加密在服务器使用数据运行计算时保护您的数据。借助机密计算，Google Cloud 可使用机密虚拟机和机密 Google Kubernetes Engine 节点加密使用中的数据。

您可以选择使用由 Cloud Key Management Service 生成的密钥。如果使用客户管理的加密密钥 (CMEK)，加密密钥将存储在 Cloud KMS 中。然后，包含加密密钥的项目可以与包含存储桶的项目相互独立，从而更好地实现职责分离。

Cloud HSM 是一种云托管的硬件安全模块 (HSM) 服务，该服务允许您在 FIPS 140-2 Level 3 认证的 HSM 集群中托管加密密钥并执行加密操作。Google 会为您管理 HSM 集群，因此您无需担心创建集群、扩缩或修补事宜。由于 Cloud HSM 使用 Cloud KMS 作为其前端，因此您可以利用 Cloud KMS 提供的所有便利和功能。