Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Se usó la API de Cloud Translation para traducir esta página.

Encriptación en reposo

De forma predeterminada, BigQuery encripta el contenido del cliente en reposo. BigQuery controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google. La encriptación predeterminada de Google usa los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Dentro de estos sistemas se incluyen los estrictos controles de acceso a claves y auditorías. Los datos y metadatos de cada objeto de BigQuery se encriptan con el Estándar de encriptación avanzada (AES).

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido BigQuery. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de BigQuery es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de Cloud KMS administradas por el cliente.

Encriptación de valores individuales de una tabla

Si deseas encriptar valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). Si deseas conservar los datos de todos tus clientes en una tabla común, usa las funciones de AEAD para encriptar los datos de cada cliente con una clave diferente. Las funciones de encriptación de AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptación AEAD en GoogleSQL.

Encriptación del cliente

La encriptación del lado del cliente es independiente de la encriptación en reposo de BigQuery. Si eliges usar la encriptación del lado del cliente, serás responsable de las claves del lado del cliente y las operaciones criptográficas. Deberás encriptar los datos antes de escribirlos en BigQuery. En este caso, tus datos se encriptan dos veces: primero con tus claves y, luego, con las claves de Google. Del mismo modo, los datos leídos de BigQuery se desencriptan dos veces: primero con las claves de Google y, luego, con tus claves.

Datos en tránsito

Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, Cloud de Confiance utiliza la seguridad de la capa de transporte (TLS). Para obtener más información, consulta Encriptación en tránsito en Cloud de Confiance.

Dentro de los centros de datos de Google, tus datos se encriptan cuando se transfieren entre máquinas.

¿Qué sigue?

Si deseas obtener más información sobre la encriptación en reposo para BigQuery y otros productos de Cloud de Confiance , consulta Encriptación en reposo en Cloud de Confiance.