Bring Your Own Key (BYOK) を使用すると、組織はデータを暗号化し、暗号化キーを完全に制御できます。

各クラウド プロバイダーは、Bring Your Own Key（BYOK）を提供していますが、サポートの程度は異なります。クライアント側の暗号化では、通常、アプリケーションは、クラウド サービス プロバイダーとの間でデータを送受信する前に、データの暗号化と復号化を行います。 

BYOK を使用すると、組織は独自のマスターキーをインポートでき、クラウドプロバイダーがキー管理システム（KMS）に保存します。マスターキーが外部のキー管理システムに保存されている場合、クラウド プロバイダーはマスターキーにアクセスできません。

クラウド プロバイダーは、マスター キーを使用してデータ暗号化キー (DEK) を保護します。組織は、紛失または失効した場合に備えて、マスター キーのコピーを常に保持しています。