Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Enkripsi dalam penyimpanan

Secara default, BigQuery mengenkripsi konten pelanggan dalam penyimpanan. BigQuery menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google. Enkripsi default Google menggunakan sistem pengelolaan kunci yang telah melalui proses hardening yang sama dengan yang kami gunakan untuk data terenkripsi kami sendiri. Sistem ini mencakup pengauditan dan kontrol akses kunci yang ketat. Data dan metadata setiap objek BigQuery dienkripsi menggunakan Advanced Encryption Standard (AES).

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk BigQuery. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan menggunakan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource BigQuery Anda serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci Cloud KMS yang dikelola pelanggan.

Enkripsi nilai individual dalam tabel

Jika Anda ingin mengenkripsi nilai individual dalam tabel BigQuery, gunakan fungsi enkripsi Authenticated Encryption with Associated Data (AEAD). Jika Anda ingin menyimpan data untuk semua pelanggan Anda sendiri dalam tabel umum, gunakan fungsi AEAD untuk mengenkripsi setiap data pelanggan menggunakan kunci yang berbeda. Fungsi enkripsi AEAD didasarkan pada AES. Untuk informasi selengkapnya, lihat Konsep Enkripsi AEAD di GoogleSQL.

Enkripsi sisi klien

Enkripsi sisi klien terpisah dari enkripsi BigQuery dalam penyimpanan. Jika memilih untuk menggunakan enkripsi sisi klien, Anda bertanggung jawab atas kunci sisi klien dan operasi kriptografi. Anda akan mengenkripsi data sebelum menulisnya ke BigQuery. Dalam hal ini, data Anda dienkripsi dua kali, pertama dengan kunci Anda, lalu dengan kunci Google. Demikian pula, data yang dibaca dari BigQuery didekripsi dua kali, pertama dengan kunci Google dan kemudian dengan kunci Anda.

Data dalam pengiriman

Untuk melindungi data Anda saat data berpindah melalui Internet selama operasi baca dan tulis, Trusted Cloud menggunakan Transport Layer Security (TLS). Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam pengiriman di Trusted Cloud.

Dalam pusat data Google, data Anda dienkripsi saat ditransfer antar-komputer.

Langkah berikutnya

Untuk mengetahui informasi selengkapnya tentang enkripsi dalam penyimpanan untuk BigQuery dan produk Trusted Cloud lainnya, lihat Enkripsi dalam penyimpanan di Trusted Cloud.