Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page traite du chiffrement côté client, c'est-à-dire de tout chiffrement de données que vous effectuez avant d'envoyer des données à Cloud Storage. Pour en savoir plus sur les autres options de chiffrement, consultez la page Options de chiffrement des données.
Lorsque vous effectuez un chiffrement côté client, vous devez créer et gérer vos propres clés de chiffrement. Vous devez également chiffrer les données avec vos propres outils avant de les envoyer à Cloud Storage. Les données que vous chiffrez côté client arrivent sur Cloud Storage sous forme chiffrée, et Cloud Storage n'a pas connaissance des clés avec lesquelles vous les avez chiffrées.
Lorsque Cloud Storage reçoit les données, celles-ci sont chiffrées une seconde fois. Ce second chiffrement, géré par Cloud Storage, est appelé chiffrement côté serveur. Lorsque vous récupérez les données, Cloud Storage supprime le niveau de chiffrement côté serveur, mais vous devez déchiffrer vous-même le niveau côté client.
Vous pouvez utiliser le SDK de cryptographie Open Source Tink pour effectuer le chiffrement côté client avant de protéger vos clés avec Cloud Key Management Service. Pour en savoir plus, consultez la section Chiffrement côté client avec Tink et Cloud Key Management Service.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["# Client-side encryption keys\n\nThis page discusses *client-side encryption* , which is any data encryption you\nperform prior to sending your data to Cloud Storage. For other encryption options,\nsee [Data Encryption Options](/storage/docs/encryption).\n\nWhen you perform client-side encryption, you must create and manage your own\nencryption keys, and you must use your own tools to encrypt data prior to\nsending it to Cloud Storage. Data that you encrypt on the client side arrives\nat Cloud Storage in an encrypted state, and Cloud Storage has no knowledge\nof the keys you used to encrypt the data.\n\nWhen Cloud Storage receives your data, it is encrypted a second time. This\nsecond encryption is called *server-side encryption*, which Cloud Storage\nmanages. When you retrieve your data, Cloud Storage removes the server-side\nlayer of encryption, but you must decrypt the client-side layer yourself.\n\nYou can use the open source cryptographic SDK, Tink, to perform client-side\nencryption, then protect your keys with Cloud Key Management Service. For more\ndetails, see [Client-side encryption with Tink and Cloud Key Management Service](/kms/docs/client-side-encryption).\n| **Warning:** Cloud Storage doesn't know if your data has already been encrypted on the client side and has no knowledge of your client-side encryption keys. You must securely manage your client-side keys and ensure that they are not lost. If you lose your keys, you are no longer able to read your data, and you continue to be charged for storage of your objects until you delete them."]]
