用戶端加密金鑰

本頁面討論「用戶端加密」，也就是將資料傳送到 Cloud Storage 之前執行的任何資料加密。如需其他加密選項，請參閱「資料加密選項」。

在執行用戶端加密時，您必須建立並管理自己的加密金鑰，且必須在傳送到 Cloud Storage 前，使用自己的工具將資料加密。您在用戶端加密的資料會以加密狀態到達 Cloud Storage，Cloud Storage 不會知道您用於加密資料的金鑰。

Cloud Storage 收到您的資料後會再次進行加密。這第二次加密稱為「伺服器端加密」，由 Cloud Storage 管理。在您擷取資料時，Cloud Storage 會移除伺服器端的加密層，但您必須自行解密用戶端的加密層。

您可以使用開放原始碼的加密 SDK Tink 執行用戶端加密，然後使用 Cloud Key Management Service 保護金鑰。詳情請參閱「使用 Tink 和 Cloud Key Management Service 進行用戶端加密」。