Cloud Storage 在将数据写入磁盘之前,始终会在服务器端对您的数据进行加密,无需额外费用。除了标准 Cloud Storage 行为外,您在使用 Cloud Storage 时,还可以使用其他方法加密数据。以下内容总结了您可以使用的加密选项:
服务器端加密:在 Cloud Storage 接收数据之后、在将数据写入磁盘并存储之前执行的加密。
客户管理的加密密钥 (CMEK):您可以通过 Cloud Key Management Service 创建和管理加密密钥。CMEK 可以作为软件密钥存储在 HSM 集群中或存储在外部。
客户提供的加密密钥 (CSEK):您可以创建和管理自己的加密密钥。这些密钥充当标准 Cloud Storage 加密基础之上的额外加密层。
客户端加密:在将数据发送到 Cloud Storage 之前执行的加密。此类数据在到达 Cloud Storage 时已进行加密,但同样会进行服务器端加密。
比较加密选项
| 加密方法 | 密钥管理 | 使用场景 |
|---|---|---|
| 标准(默认) | Google 管理加密密钥。 | 通用:Cloud Storage 的标准加密功能非常适合大多数需要对静态数据进行加密,但不想管理加密密钥的用户。它可以自动满足许多合规性要求。 |
| CMEK | 您可以使用 Cloud Key Management Service 管理密钥。 | 合规性和控制:如果您需要控制加密密钥的生命周期以满足特定的合规性标准(例如 PCI-DSS 或 HIPAA),请使用 CMEK。您可以自行安排密钥的授予、撤销和轮替。 |
| CSEK | 您可以在每次向 Cloud Storage 发出请求时提供自己的加密密钥。 | 外部密钥管理:如果您在 Google Cloud 外部有现有的密钥管理系统,并且想要使用这些密钥来加密 Cloud Storage 数据,那么 CSEK 是最佳选择。密钥不会由 Google存储。 |
| 客户端加密 | 在将数据发送到 Cloud Storage 之前,您需要自行加密数据并管理密钥。 | 最高保密性:如果您需要确保 Google 无法访问未加密的数据,请使用客户端加密。这样一来,您就可以获得最高级别的控制权,但同时也要承担密钥管理以及加密和解密流程的全部负担。 |