靜態資料加密

根據預設，BigQuery 會加密靜態儲存的客戶內容。BigQuery 會為您處理加密作業，您不需要另行操作。這個選項稱為「Google 預設加密」。Google 的預設加密功能會使用強化金鑰管理系統，這個系統與 Google 在自己的加密資料上使用的相同。這些系統包括嚴格的金鑰存取權控管與稽核措施。每個 BigQuery 物件的資料和中繼資料都使用進階加密標準 (AES) 進行加密。

如果您想控管加密金鑰，可以使用 Cloud KMS 中的客戶自行管理的加密金鑰 (CMEK)，並搭配使用整合 CMEK 的服務，包括 BigQuery。使用 Cloud KMS 金鑰可讓您控制金鑰的保護等級、位置、輪替時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 還可讓您追蹤金鑰使用情形、查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK)，而非由 Google 擁有及管理這些金鑰。

設定資源時使用 CMEK 後，存取 BigQuery 資源的體驗就會類似於使用 Google 預設加密功能。如要進一步瞭解加密選項，請參閱「 客戶代管的 Cloud KMS 金鑰」。

使用 Cloud KMS Autokey 的 CMEK

您可以手動建立 CMEK 來保護 BigQuery 資源，也可以使用 Cloud KMS Autokey。使用 Autokey 時，系統會在 BigQuery 中建立資源時視需求產生金鑰環和金鑰。如果尚未建立使用金鑰進行加密和解密作業的服務代理程式，系統會建立這些代理程式，並授予必要的 Identity and Access Management (IAM) 角色。詳情請參閱「Autokey 總覽」。

如要瞭解如何使用手動建立的 CMEK 保護 BigQuery 資源，請參閱「客戶管理的 Cloud KMS 金鑰」。

如要瞭解如何使用 Cloud KMS Autokey 建立的 CMEK 來保護 BigQuery 資源，請參閱「使用 Autokey 搭配 BigQuery 資源」。

加密資料表中的個別值

如果您想要加密 BigQuery 資料表中的個別值，請使用「用於相關資料的驗證加密」(AEAD) 加密函式。如果您希望將自己所有客戶的資料都保存在共用的資料表中，請使用 AEAD 函式，以不同的金鑰將每位客戶的資料加密。AEAD 加密函式是以 AES 為基礎。詳情請參閱「GoogleSQL 中的 AEAD 加密概念」。

用戶端加密

用戶端加密與 BigQuery 靜態資料加密無關。如果您選擇使用用戶端加密技術，則必須負責管理用戶端金鑰和密碼編譯作業。您必須先將資料加密，再將資料寫入 BigQuery。在這種情況下，您的資料會被加密兩次，第一次是使用您的金鑰，第二次是使用 Google 金鑰。相同道理，從 BigQuery 讀取的資料會經過兩次解密，第一次是使用 Google 金鑰，第二次是使用您的金鑰。

傳輸中的資料

為了確保您的資料在讀寫作業期間透過網際網路傳輸時能安全無虞， Google Cloud 會使用傳輸層安全標準 (TLS)。詳情請參閱「 Google Cloud中的傳輸加密」。

在 Google 資料中心內，您的資料在機器之間傳輸時會經過加密。

後續步驟

如要進一步瞭解 BigQuery 和其他 Google Cloud 產品的靜態資料加密，請參閱「 Google Cloud中的靜態資料加密」。