根據預設,Migrate to Virtual Machines 會加密靜態儲存的客戶內容。遷移至虛擬機器會為您處理加密作業,您不必採取任何其他動作。這項做法稱為「Google 預設加密」。
如要控管加密金鑰,您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK),並搭配整合 CMEK 的服務 (包括 Migrate to Virtual Machines)。使用 Cloud KMS 金鑰可控管保護等級、位置、輪換時間表、使用權限和存取權,以及加密範圍。 使用 Cloud KMS 還能追蹤金鑰用量、查看稽核記錄,以及控管金鑰生命週期。 您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK),而不是由 Google 擁有及管理這些金鑰。
使用 CMEK 設定資源後,存取「遷移至虛擬機器」資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項,請參閱客戶管理的加密金鑰 (CMEK)。
Migrate to Virtual Machines 會使用 CMEK 加密下列資料:
下列各節將詳細說明這些情境。
使用 CMEK 加密遷移期間儲存的資料
如要使用 CMEK 加密遷移或匯入期間儲存的資料,您必須在建立遷移來源或匯入資源時,提供 Cloud KMS 金鑰的參照。如需瞭解如何使用 CMEK 在從各種遷移來源遷移資料時加密資料,請參閱下列主題:
使用 CMEK 加密目標 VM 執行個體和 VM 磁碟上的資料
如要使用 CMEK 加密目標 VM 執行個體和 VM 磁碟上的資料,您必須在目標詳細資料中提供 Cloud KMS 金鑰的參照。如要瞭解如何在目標詳細資料中設定 CMEK,請參閱為 VM 執行個體設定 CMEK 和為 VM 磁碟設定 CMEK。
使用 CMEK 加密目標磁碟和機器映像檔中的資料
如要使用 CMEK 加密目標磁碟和機器映像檔中的資料,您必須在目標詳細資料中提供 Cloud KMS 金鑰的參照。如需在目標詳細資料中設定 CMEK 的操作說明,請參閱「將虛擬磁碟映像檔匯入 Compute Engine」和「將機器映像檔匯入 Compute Engine」。