Cloud Firestore จะเข้ารหัสข้อมูลทั้งหมดโดยอัตโนมัติก่อนที่จะเขียนลงดิสก์ โดยไม่จำเป็นต้องตั้งค่าหรือกำหนดค่าใดๆ และไม่จำเป็นต้องแก้ไขวิธีเข้าถึงบริการ ระบบจะถอดรหัสข้อมูลโดยอัตโนมัติและโปร่งใสเมื่อผู้ใช้ที่ได้รับอนุญาตอ่านข้อมูล
การจัดการคีย์
เมื่อใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ คุณสามารถให้ Google จัดการคีย์การเข้ารหัสแทนคุณ หรือใช้คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) เพื่อจัดการคีย์ด้วยตนเองก็ได้
โดยค่าเริ่มต้น Google จะจัดการคีย์การเข้ารหัสแทนคุณโดยใช้ระบบการจัดการคีย์ที่เสริมความแข็งแกร่งแบบเดียวกับที่เราใช้กับข้อมูลที่เข้ารหัสของเราเอง ซึ่งรวมถึงการควบคุมการเข้าถึงคีย์และการตรวจสอบที่เข้มงวด ข้อมูลและข้อมูลเมตาของออบเจ็กต์ Cloud Firestoreแต่ละรายการจะได้รับการ เข้ารหัส และคีย์การเข้ารหัสแต่ละรายการจะได้รับการเข้ารหัส ด้วยชุดคีย์หลักที่หมุนเวียนเป็นประจำ
ดูข้อมูลเกี่ยวกับการจัดการคีย์ด้วยตนเองได้ที่ CMEK สำหรับ Cloud Firestore
การเข้ารหัสฝั่งไคลเอ็นต์
คุณสามารถใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ร่วมกับการเข้ารหัสฝั่งไคลเอ็นต์ได้ ในการเข้ารหัสฝั่งไคลเอ็นต์ คุณจะเป็นผู้จัดการคีย์การเข้ารหัสด้วยตนเองและเข้ารหัสข้อมูล ก่อนที่จะเขียนลงใน Cloud Firestore ในกรณีนี้ ระบบจะเข้ารหัสข้อมูลของคุณ 2 ครั้ง ครั้งหนึ่งด้วยคีย์ของคุณและอีกครั้งด้วยคีย์ฝั่งเซิร์ฟเวอร์
เราใช้ Transport Layer Security (TLS) เพื่อปกป้องข้อมูลของคุณขณะรับส่งข้อมูลผ่านอินเทอร์เน็ตระหว่างการดำเนินการอ่านและเขียน ดูข้อมูลเพิ่มเติมเกี่ยวกับ เวอร์ชัน TLS ที่รองรับได้ที่ การเข้ารหัสระหว่างการรับส่งข้อมูลใน Google Cloud
ขั้นตอนถัดไป
ดูข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสเมื่อไม่มีการเคลื่อนไหวสำหรับ Cloud Firestore และ ผลิตภัณฑ์Google Cloudอื่นๆ ได้ที่ การเข้ารหัสเมื่อไม่มีการเคลื่อนไหวใน Google Cloud