Granularità della crittografia predefinita per i servizi Google Cloud

Ogni servizio Google Cloud divide i dati a un diverso livello di granularità per la crittografia at-rest predefinita. Questo documento descrive la granularità della crittografia predefinita per i contenuti dei clienti per i servizi. I contenuti dei clienti sono i dati che generi tu stesso o che ci fornisci, ad esempio i dati archiviati in Cloud Storage, gli snapshot di dischi utilizzati da Compute Engine e i criteri IAM. I contenuti dei clienti non includono i metadati dei clienti, ad esempio i nomi delle risorse. In alcuni servizi, tutti i metadati sono criptati con una singola DEK.

Per saperne di più sulle opzioni di crittografia, incluse quelle che consentono la separazione logica dei dati, consulta Chiavi in Google Cloud.

Tipo Google Cloud servizio Granularità della crittografia dei dati dei clienti (dimensioni dei dati criptati con una singola DEK)
Archiviazione Bigtable Per ogni blocco di dati (diversi per ogni tabella)
Datastore Per ogni blocco di dati (non univoco per un singolo cliente)
Firestore Per ogni blocco di dati (non univoco per un singolo cliente)
Spanner Per ogni blocco di dati (diversi per ogni tabella)
Cloud SQL
  • Seconda generazione: per ogni istanza, come in Google Compute Engine (ogni istanza può contenere più database)
  • Prima generazione: per ogni istanza
Cloud Storage Per ogni blocco di dati (in genere da 256 kB a 8 MB)
Computing App Engine Per ogni blocco di dati (non univoco per un singolo cliente)

App Engine include il codice dell'applicazione e le impostazioni dell'applicazione. I dati utilizzati in App Engine vengono archiviati in Datastore, Cloud SQL o Cloud Storage, a seconda delle configurazioni del cliente.
Cloud Run Functions Per ogni blocco di dati (non univoco per un singolo cliente)

Cloud Run Functions include codice, impostazioni e dati degli eventi della funzione. I dati degli eventi vengono archiviati in Pub/Sub.
Compute Engine
  • Diversi per ogni disco
  • Per ogni gruppo di snapshot, con singoli intervalli di snapshot derivati dalla chiave master del gruppo di snapshot
  • Per ogni immagine
Google Kubernetes Engine su Google Cloud Diversi per ogni disco, come Compute Engine
Artifact Registry Archiviazione in Cloud Storage, per ogni blocco di dati
Analisi dei dati BigQuery Uno o più per ogni tabella
Dataflow Archiviazione in Cloud Storage, per ogni blocco di dati
Managed Service per Apache Spark Archiviazione in Cloud Storage, per ogni blocco di dati
Pub/Sub Rotazione ogni 30 giorni (non univoco per singolo cliente)

Passaggi successivi

Scopri di più sulla crittografia at-rest predefinita.