Google Workspace에서 제공하는 암호화를 사용하는 대신 자체 암호화 키를 사용하여 조직의 데이터를 암호화할 수 있습니다. Google Workspace 클라이언트 측 암호화 (CSE)를 사용하면 파일 브라우저가 Drive의 클라우드 기반 스토리지에 저장되기 전에 클라이언트의 브라우저에서 처리됩니다. 이렇게 하면 Google 서버에서 암호화 키에 액세스할 수 없으므로 데이터를 복호화할 수 없습니다. 자세한 내용은 클라이언트 측 암호화에 관한 정보를 참고하세요.
이 API를 사용하면 커스텀 외부 키 관리 서비스로 데이터를 보호하는 최상위 암호화 키를 제어할 수 있습니다. 이 API로 외부 키 관리 서비스를 만든 후 Google Workspace 관리자가 해당 서비스에 연결하여 사용자의 CSE를 사용 설정할 수 있습니다.
중요 용어
다음은 Google Workspace 클라이언트 측 암호화 API에 사용되는 일반적인 용어 목록입니다.
- 클라이언트 측 암호화 (CSE)
- 클라이언트의 브라우저에서 처리되는 암호화로, 클라우드 기반 스토리지에 저장됩니다. 이렇게 하면 스토리지 제공업체가 파일을 읽을 수 없습니다. 자세히 알아보기
- 키 액세스 제어 목록 서비스 (KACLS)
- 이 API를 사용하여 외부 시스템에 저장된 암호화 키에 대한 액세스를 제어하는 외부 키 서비스입니다.
- ID 공급업체 (IdP)
- 사용자가 파일을 암호화하거나 암호화된 파일에 액세스하기 전에 사용자를 인증하는 서비스입니다.
암호화 및 복호화
- 데이터 암호화 키 (DEK)
- Google Workspace가 브라우저 클라이언트에서 데이터 자체를 암호화하는 데 사용하는 키입니다.
- 키 암호화 키 (KEK)
- 데이터 암호화 키 (DEK)를 암호화하는 데 사용되는 서비스의 키입니다.
액세스 제어
- 액세스제어 목록 (ACL)
- 파일을 열거나 읽을 수 있는 사용자 또는 그룹의 목록
- 인증 JSON 웹 토큰 (JWT)
- 사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급하는 Bearer 토큰 (JWT: RFC 7516)
- 인증 JSON 웹 토큰 (JWT)
- 호출자에게 리소스를 암호화 또는 복호화할 권한이 있는지 확인하기 위해 Google에서 발급하는 Bearer 토큰 (JWT: RFC 7516)입니다.
- JSON 웹 키 세트 (JWKS)
- JSON 웹 토큰 (JWT)을 확인하는 데 사용되는 공개 키 목록을 가리키는 읽기 전용 엔드포인트 URL입니다.
- 경계
- 액세스 제어를 위해 KACLS 내의 인증 및 승인 토큰에 대해 추가 검사가 수행됩니다.
클라이언트 측 암호화 프로세스
관리자가 조직에 CSE를 사용 설정하면 CSE가 사용 설정된 사용자는 Docs 및 Sheets와 같은 Google Workspace 공동작업 콘텐츠 생성 도구를 사용하여 암호화된 문서를 만들거나 PDF와 같이 Google Drive에 업로드하는 파일을 암호화할 수 있습니다.
사용자가 문서 또는 파일을 암호화한 후:
Google Workspace는 클라이언트 브라우저에서 DEK를 생성하여 콘텐츠를 암호화합니다.
Google Workspace에서는 개발자가 Google Workspace 조직의 관리자에게 제공한 URL을 사용하여 DEK 및 인증 토큰을 타사 KACLS에 암호화하여 전송합니다.
KACLS는 이 API를 사용하여 DEK를 암호화한 후 난독화되고 암호화된 DEK를 다시 Google Workspace로 전송합니다.
Google Workspace는 난독화되고 암호화된 데이터를 클라우드에 저장합니다. KACL에 액세스할 수 있는 사용자만 데이터에 액세스할 수 있습니다.
자세한 내용은 파일 암호화 및 복호화를 참고하세요.
다음 단계
- 서비스 구성 방법 알아보기
- 데이터 암호화 및 복호화 방법 알아보기