在將伺服器端的資料寫入磁碟之前,Cloud Storage 一律會將資料加密,不需另外收費。除了這項標準的 Cloud Storage 行為之外,您也可以在使用 Cloud Storage 時透過其他方式將資料加密。以下摘要列出您可使用的加密選項:
伺服器端加密:在 Cloud Storage 收到資料之後,但在將資料寫入磁碟並儲存之前進行加密。
客戶代管的加密金鑰 (CMEK):您可以透過 Cloud Key Management Service 建立及管理加密金鑰。CMEK 可以儲存為軟體金鑰、HSM 叢集或外部。
客戶提供的加密金鑰 (CSEK):您可以建立及管理自己的加密金鑰。這些金鑰可做為 Cloud Storage 標準加密機制之外的額外加密層。
用戶端加密:在資料傳送至 Cloud Storage 之前進行加密。這類送達至 Cloud Storage 的資料已加密,但仍會進行伺服器端加密。
比較加密選項
| 加密方法 | 金鑰管理 | 用途 |
|---|---|---|
| 標準 (預設) | Google 管理加密金鑰。 | 一般用途:Cloud Storage 的標準加密功能適合大多數使用者,可加密靜態資料,且不必管理加密金鑰。可自動滿足許多法規遵循要求。 |
| CMEK | 您可以使用 Cloud Key Management Service 管理金鑰。 | 法規遵循和控管:如要控管加密金鑰的生命週期,以符合特定法規遵循標準 (例如 PCI-DSS 或 HIPAA),請使用 CMEK。您可以按照自己的時間表授予、撤銷及輪替金鑰。 |
| CSEK | 您必須在每次向 Cloud Storage 提出要求時,提供自己的加密金鑰。 | 外部金鑰管理:如果您在 Google Cloud 外部有現有的金鑰管理系統,並想使用這些金鑰加密 Cloud Storage 資料,最適合採用 CSEK。 Google不會儲存金鑰。 |
| 用戶端加密 | 您可以在將資料傳送到 Cloud Storage 前,自行加密資料並管理金鑰。 | 最高機密性:如要確保 Google 無法存取未加密資料,請使用用戶端加密。這樣一來,您就能享有最高等級的控制權,但也要完全負責金鑰管理,以及加密和解密程序。 |