我无法在 BigQuery 文档中找到有关使用 ALTER TABLE 语句更新 kms_key 时静态数据行为的明确解释。
Cloud KMS 已设置,并且密钥环中的密钥用于加密 BigQuery 中的数据。 90 天后,KMS 会创建一个新密钥,我们的要求是所有 BigQuery 数据都应仅使用此最新密钥进行加密。由于 BigQuery 不会自动轮换密钥,因此需要使用 ALTER TABLE 语句或 bq cp/update 来更改 kms_key (https://cloud.google.com/bigquery/docs/customer-management-encryption#bq_5)。
测试ALTER TABLE语句后,发现BigQuery切换了key,但没有涉及数据的扫描/写入。
我很清楚,通过 BigQuery API 将新提取的数据放入表中将使用新的最新密钥。 kms_name 的更新语句是否也会重新加密 BigQuery 中的静态数据?对于静态数据,似乎需要再次解密(使用旧密钥)并加密(使用新密钥),以便仅使用一个密钥对所有数据进行加密。
当密钥切换到新密钥(使用 ALTER TABLE 更新选项)并且在一段时间后尝试读取数据时,会发生什么? BigQuery 然后会使用旧密钥来解密数据吗?
是否有任何文档可以解释 BigQuery 在这种情况下的行为?
BigQuery 使用信封加密。这意味着数据使用 Google 管理的数据加密密钥进行加密,然后使用您的密钥(称为密钥加密密钥)进行加密。因此,在密钥轮换后,唯一被重新加密的是原始数据加密密钥。数据本身不会被重新加密。请参阅 https://cloud.google.com/bigquery/docs/customer-management-encryption。