默认情况下,Migrate to Virtual Machines 会对静态客户内容进行加密。Migrate to Virtual Machines 会为您处理加密,您无需执行任何其他操作。此选项称为“Google 默认加密”。
如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Migrate to Virtual Machines)搭配使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。 使用 Cloud KMS 还可让您跟踪密钥使用情况、查看审核日志以及控制密钥生命周期。 这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。
使用 CMEK 设置资源后,访问 Migrate to Virtual Machines 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)。
Migrate to Virtual Machines 使用 CMEK 加密以下数据:
以下部分更详细地介绍了这些场景。
使用 CMEK 加密迁移期间存储的数据
如需使用 CMEK 加密迁移或导入期间存储的数据,您必须在创建迁移来源或导入资源时分别提供对 Cloud KMS 密钥的引用。如需了解如何在迁移期间使用 CMEK 加密来自各种迁移来源的数据,请参阅以下主题:
使用 CMEK 加密目标虚拟机实例和虚拟机磁盘上的数据
如需使用 CMEK 加密目标虚拟机实例和虚拟机磁盘上的数据,您必须在目标详细信息中提供对 Cloud KMS 密钥的引用。如需了解如何在目标详细信息中设置 CMEK,请参阅为虚拟机实例设置 CMEK 和为虚拟机磁盘设置 CMEK。
使用 CMEK 加密目标磁盘和机器映像上的数据
如需使用 CMEK 加密目标磁盘和机器映像上的数据,您必须在目标详细信息中提供对 Cloud KMS 密钥的引用。如需了解如何在目标详细信息中设置 CMEK,请参阅将虚拟磁盘映像导入 Compute Engine 和将机器映像导入 Compute Engine。