Questa pagina è stata tradotta dall'API Cloud Translation.

Crittografia dei dati inattivi

Per impostazione predefinita, BigQuery cripta i contenuti dei clienti at-rest. BigQuery gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google. La crittografia predefinita di Google utilizza gli stessi sistemi di gestione delle chiavi avanzati che utilizziamo per i nostri dati criptati. Questi sistemi includono controlli e audit rigorosi dell'accesso alle chiavi. I dati e i metadati di ogni oggetto BigQuery vengono criptati utilizzando Advanced Encryption Standard (AES).

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui BigQuery. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini di crittografia. L'utilizzo di Cloud KMS ti consente inoltre di monitorare l'utilizzo delle chiavi, visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.

Dopo aver configurato le risorse con i CMEK, l'esperienza di accesso alle risorse BigQuery è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, consulta chiavi Cloud KMS gestite dal cliente.

CMEK con Autokey di Cloud KMS

Puoi creare CMEK manualmente per proteggere le risorse BigQuery o utilizzare Autokey di Cloud KMS. Con Autokey, le chiavi e i keyring vengono generati on demand nell'ambito della creazione delle risorse in BigQuery. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono creati se non esistono già e vengono concessi i ruoli IAM (Identity and Access Management) richiesti. Per ulteriori informazioni, consulta la panoramica di Autokey.

Per scoprire come utilizzare le chiavi CMEK create manualmente per proteggere le risorse BigQuery, consulta Chiavi Cloud KMS gestite dal cliente.

Per scoprire come utilizzare le chiavi CMEK create da Cloud KMS Autokey per proteggere le risorse BigQuery, consulta Utilizzare Autokey con le risorse BigQuery.

Crittografia dei singoli valori in una tabella

Se vuoi criptare singoli valori all'interno di una tabella BigQuery, utilizza le funzioni di crittografia con crittografia con autenticazione e dati associati (AEAD). Se vuoi conservare i dati di tutti i tuoi clienti in una tabella comune, utilizza le funzioni AEAD per criptare i dati di ciascun cliente utilizzando una chiave diversa. Le funzioni di crittografia AEAD si basano su AES. Per ulteriori informazioni, consulta Concetti della crittografia AEAD in GoogleSQL.

Crittografia lato client

La crittografia lato client è separata dalla crittografia di BigQuery a riposo. Se scegli di utilizzare la crittografia lato client, sei responsabile delle chiavi lato client e delle operazioni crittografiche. Devi criptare i dati prima di scrivereli in BigQuery. In questo caso, i dati vengono criptati due volte, prima con le tue chiavi e poi con quelle di Google. Analogamente, i dati letti da BigQuery vengono decriptati due volte, prima con le chiavi di Google e poi con le tue chiavi.

Dati in transito

Per proteggere i dati durante il trasferimento su internet durante le operazioni di lettura e scrittura, Google Cloud utilizza Transport Layer Security (TLS). Per ulteriori informazioni, consulta Crittografia dei dati in transito in Google Cloud.

Nei data center di Google, i tuoi dati vengono criptati quando vengono trasferiti tra le macchine.

Passaggi successivi

Per ulteriori informazioni sulla crittografia at-rest per BigQuery e altri prodotti Google Cloud, consulta Crittografia at-rest in Google Cloud.