このページでは、Cloud Storage にデータを送信する前に実行するデータの暗号化であるクライアント側の暗号化について説明します。他の暗号化オプションについては、データ暗号化オプションをご覧ください。
クライアント側の暗号化を実行する場合、独自の暗号鍵を作成して管理し、Cloud Storage に送信する前に独自のツールを使用してデータを暗号化する必要があります。クライアント側で暗号化したデータは、暗号化された状態で Cloud Storage に到着し、Cloud Storage はデータの暗号化に使用した鍵を認識しません。
Cloud Storage がデータを受け取ると、もう一度暗号化されます。この 2 番目の暗号化は、サーバー側の暗号化と呼ばれ、Cloud Storage が管理します。ユーザーがデータを取得するときに、Cloud Storage がサーバー側の暗号化レイヤを解除しますが、クライアント側のレイヤはユーザーが自分で復号する必要があります。
オープンソースの暗号 SDK である Tink を使用してクライアントサイド暗号化を実行し、Cloud Key Management Service で鍵を保護できます。詳しくは、Tink と Cloud Key Management Service を使用したクライアント側の暗号化をご覧ください。