資料加密與加密金鑰

本頁面提供有關 Google Cloud 上資料加密和加密金鑰的相關資訊。

傳輸中資料與靜態資料的加密機制

Google Cloud 預設會啟用傳輸中的加密功能,以便在傳輸前加密要求,並使用傳輸層安全標準 (TLS) 通訊協定保護原始資料。

資料移轉至 Google Cloud 進行儲存後, Google Cloud會預設套用靜態資料加密機制。為進一步掌控靜態資料的加密方式,Google Cloud 客戶可以使用 Cloud Key Management Service,根據自身政策產生、使用、輪替及銷毀加密金鑰。這些金鑰稱為「客戶管理的加密金鑰」(CMEK)。

對於某些控制項套件,當您建立 Assured Workloads 資料夾時,Assured Workloads 可以與資源專案一併部署 CMEK 專案。

Google-owned and Google-managed encryption keys是 CMEK 的替代方案,預設情況下符合 FIPS-140-2 標準,且可支援 Assured Workloads 中的大部分控制項套件。客戶可以刪除 CMEK 專案,並完全依賴 Google-owned and Google-managed encryption keys。不過,建議您在建立 Assured Workloads 資料夾前,先決定是否要使用 CMEK 金鑰,因為刪除現有的使用中 CMEK 可能會導致無法存取或復原資料。

由客戶管理的加密金鑰 (CMEK)

如果您需要對用於在Google Cloud 專案中加密靜態資料的金鑰,享有比 Google Cloud預設加密功能更細微的控管權, Google Cloud 服務可讓您使用客戶在 Cloud KMS 中管理的加密金鑰來保護資料。這些加密金鑰稱為「客戶自行管理的加密金鑰」,簡稱「CMEK」。

如要瞭解 CMEK 提供的金鑰生命週期和管理功能,請參閱 Cloud KMS 說明文件中的「客戶管理式加密金鑰 (CMEK)」。如需透過 Cloud KMS 管理金鑰和加密資料的教學課程,請參閱快速入門codelab

後續步驟