Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se analiza la encriptación del cliente, que es cualquier encriptación de datos que realices antes de enviar tus datos a Cloud Storage. Para obtener más opciones de encriptación, consulta las Opciones de encriptación de datos.
Cuando realizas la encriptación del lado del cliente, debes crear y administrar tus propias claves de encriptación y usar tus propias herramientas para encriptar los datos antes de enviarlos a Cloud Storage. Los datos que cifras del lado del cliente llegan a Cloud Storage en un estado encriptado, y Cloud Storage no puede conocer las claves que usas para encriptar los datos.
Cuando Cloud Storage recibe tus datos, se encriptan por segunda vez. Esta segunda encriptación se llama Encriptación del lado del servidor, que administra Cloud Storage. Cuando recuperas tus datos, Cloud Storage quita la capa de encriptación del lado del servidor, pero tú debes desencriptar la capa del lado del cliente.
Puedes usar el SDK criptográfico de código abierto, Tink, para realizar la encriptación
del cliente y, luego, proteger tus claves con Cloud Key Management Service. Para obtener más detalles, consulta Encriptación del cliente con Tink y Cloud Key Management Service.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["# Client-side encryption keys\n\nThis page discusses *client-side encryption* , which is any data encryption you\nperform prior to sending your data to Cloud Storage. For other encryption options,\nsee [Data Encryption Options](/storage/docs/encryption).\n\nWhen you perform client-side encryption, you must create and manage your own\nencryption keys, and you must use your own tools to encrypt data prior to\nsending it to Cloud Storage. Data that you encrypt on the client side arrives\nat Cloud Storage in an encrypted state, and Cloud Storage has no knowledge\nof the keys you used to encrypt the data.\n\nWhen Cloud Storage receives your data, it is encrypted a second time. This\nsecond encryption is called *server-side encryption*, which Cloud Storage\nmanages. When you retrieve your data, Cloud Storage removes the server-side\nlayer of encryption, but you must decrypt the client-side layer yourself.\n\nYou can use the open source cryptographic SDK, Tink, to perform client-side\nencryption, then protect your keys with Cloud Key Management Service. For more\ndetails, see [Client-side encryption with Tink and Cloud Key Management Service](/kms/docs/client-side-encryption).\n| **Warning:** Cloud Storage doesn't know if your data has already been encrypted on the client side and has no knowledge of your client-side encryption keys. You must securely manage your client-side keys and ensure that they are not lost. If you lose your keys, you are no longer able to read your data, and you continue to be charged for storage of your objects until you delete them."]]
