Vous pouvez chiffrer les données de votre organisation à l'aide de vos propres clés de chiffrement au lieu d'utiliser le chiffrement fourni par Google Workspace. Avec le chiffrement côté client (CSE) Google Workspace, le chiffrement des fichiers est géré dans le navigateur du client avant qu'ils ne soient stockés dans l'espace de stockage cloud de Drive. De cette façon, les serveurs Google ne peuvent pas accéder à vos clés de chiffrement et, par conséquent, ne peuvent pas déchiffrer vos données. Pour en savoir plus, consultez À propos du chiffrement côté client.
Cette API vous permet de contrôler les clés de chiffrement de premier niveau qui protègent vos données à l'aide d'un service de clés externe personnalisé. Une fois que vous avez créé un service de clés externe avec cette API, les administrateurs Google Workspace peuvent s'y connecter et activer le CSE pour leurs utilisateurs.
Terminologie importante
Vous trouverez ci-dessous une liste des termes couramment utilisés dans l'API Google Workspace Client-side Encryption:
- Chiffrement côté client (CSE)
- Chiffrement géré dans le navigateur du client avant d'être stocké dans un espace de stockage cloud. Cela empêche le fournisseur de stockage de lire le fichier. En savoir plus
- Service de liste de contrôle d'accès aux clés (KACLS)
- Votre service de clés externe qui utilise cette API pour contrôler l'accès aux clés de chiffrement stockées dans un système externe.
- Fournisseur d'identité (IdP)
- Service qui authentifie les utilisateurs avant qu'ils ne puissent chiffrer des fichiers ou accéder à des fichiers chiffrés.
Chiffrement et déchiffrement
- Clé de chiffrement de données (DEK)
- Clé utilisée par Google Workspace dans le client du navigateur pour chiffrer les données elles-mêmes.
- Clé de chiffrement de clé (KEK)
- Clé de votre service utilisée pour chiffrer une clé de chiffrement des données (DEK).
Contrôle des accès
- Liste de contrôle d'accès (LCA)
- Liste des utilisateurs ou des groupes autorisés à ouvrir ou à lire un fichier.
- Jeton Web JSON (JWT) d'authentification
- Jeton porteur (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
- Jeton Web JSON (JWT) d'autorisation
- Jeton porteur (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.
- Ensemble de clés Web JSON (JWKS)
- URL de point de terminaison en lecture seule qui pointe vers une liste de clés publiques utilisées pour valider les jetons Web JSON (JWT).
- Périmètre
- Vérifications supplémentaires effectuées sur les jetons d'authentification et d'autorisation dans les KACLS pour le contrôle des accès.
Processus de chiffrement côté client
Une fois qu'un administrateur a activé le CSE pour son organisation, les utilisateurs pour lesquels il est activé peuvent choisir de créer des documents chiffrés à l'aide des outils de création de contenu collaboratif Google Workspace, comme Docs et Sheets, ou de chiffrer les fichiers qu'ils importent dans Google Drive, comme des PDF.
Une fois que l'utilisateur a chiffré un document ou un fichier:
Google Workspace génère une clé de chiffrement de données dans le navigateur client pour chiffrer le contenu.
Google Workspace envoie la DEK et les jetons d'authentification à votre KACLS tiers pour le chiffrement, à l'aide d'une URL que vous fournissez à l'administrateur de l'organisation Google Workspace.
Votre KACLS utilise cette API pour chiffrer la DEK, puis renvoie la DEK obscurcie et chiffrée à Google Workspace.
Google Workspace stocke les données obscurcies et chiffrées dans le cloud. Seuls les utilisateurs ayant accès à vos KACLS peuvent accéder aux données.
Pour en savoir plus, consultez Chiffrer et déchiffrer des fichiers.
Étapes suivantes
- Découvrez comment configurer votre service.
- Découvrez comment chiffrer et déchiffrer des données.