Granularität der Standardverschlüsselung für Google Cloud-Dienste

Die einzelnen Google Cloud Dienste teilen die Daten für die standardmäßige Verschlüsselung inaktiver Daten mit unterschiedlichen Granularitätsstufen auf. In diesem Dokument wird die Granularität der Standardverschlüsselung für Kundeninhalte für Dienste beschrieben. Kundeninhalte sind Daten, die Sie selbst generieren oder uns zur Verfügung stellen, z. B. Daten, die in Cloud Storage gespeichert sind, von Compute Engine verwendete Laufwerk-Snapshots und IAM-Richtlinien. Kundeninhalte enthalten keine Kundenmetadaten wie Ressourcennamen. Bei einigen Diensten werden alle Metadaten mit einem einzigen DEK verschlüsselt.

Weitere Informationen zu Verschlüsselungsoptionen, einschließlich Optionen, die eine logische Datentrennung ermöglichen, finden Sie unter Schlüssel inGoogle Cloud.

Typ Google Cloud service Granularität der Verschlüsselung von Kundendaten (Größe der mit einem einzigen DEK verschlüsselten Daten)
Speicher Bigtable Für jeden Datenblock (mehrere für jede Tabelle)
Datastore Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)
Firestore Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)
Spanner Für jeden Datenblock (mehrere für jede Tabelle)
Cloud SQL
  • Zweite Generation: Für jede Instanz, wie in Google Compute Engine (jede Instanz kann mehrere Datenbanken enthalten)
  • Erste Generation: Für jede Instanz
Cloud Storage Für jeden Datenblock (in der Regel 256 KB bis 8 MB)
Computing App Engine Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)

App Engine enthält Anwendungscode und Anwendungseinstellungen. Die in App Engine verwendeten Daten werden je nach Kundenkonfiguration in Datastore, Cloud SQL oder Cloud Storage gespeichert.
Cloud Run-Funktionen Für jeden Datenblock (nicht für einen einzelnen Kunden eindeutig)

Cloud Run-Funktionen enthalten Funktionscode, Einstellungen und Ereignisdaten. Ereignisdaten werden in Pub/Sub gespeichert.
Compute Engine
  • Mehrere für jedes Laufwerk
  • Für jede Snapshot-Gruppe mit einzelnen Snapshot-Bereichen, die aus dem Masterschlüssel der Snapshot-Gruppe abgeleitet sind
  • Bei jedem Bild gilt
Google Kubernetes Engine auf Google Cloud Mehrere für jedes Laufwerk wie Compute Engine
Artifact Registry In Cloud Storage für jeden Datenblock gespeichert
Datenanalyse BigQuery Mindestens eine pro Tabelle
Dataflow In Cloud Storage für jeden Datenblock gespeichert
Dataproc In Cloud Storage für jeden Datenblock gespeichert
Pub/Sub Rotiert alle 30 Tage (nicht für einen einzelnen Kunden eindeutig)

Nächste Schritte

Standardverschlüsselung inaktiver Daten