Mem-build layanan kunci enkripsi kustom untuk enkripsi sisi klien

Anda dapat menggunakan kunci enkripsi Anda sendiri untuk mengenkripsi data organisasi, alih-alih menggunakan enkripsi yang disediakan Google Workspace. Dengan Enkripsi Sisi Klien (CSE) Google Workspace, enkripsi file ditangani di browser klien Anda sebelum disimpan dalam penyimpanan berbasis cloud Drive. Dengan begitu, Server Google tidak dapat mengakses kunci enkripsi Anda, sehingga tidak dapat mendekripsi memahami data Anda. Untuk detail selengkapnya, lihat Tentang enkripsi sisi klien.

API ini memungkinkan Anda mengontrol kunci enkripsi tingkat atas yang melindungi data Anda dengan layanan kunci enkripsi eksternal kustom. Setelah Anda membuat layanan kunci enkripsi eksternal Dengan API ini, administrator Google Workspace dapat terhubung ke API tersebut dan mengaktifkan CSE ketersediaan tinggi dan latensi yang lebih rendah bagi pengguna mereka.

Terminologi penting

Di bawah ini adalah daftar istilah umum yang digunakan di Google Workspace Client-side Encryption API:

Enkripsi sisi klien (CSE)
Enkripsi yang ditangani di browser klien sebelum disimpan di dan penyimpanan berbasis cloud. Tindakan ini akan melindungi file agar tidak dibaca oleh penyimpanan penyedia layanan. Pelajari lebih lanjut
Key Access Control List Service (KACLS)
Layanan kunci enkripsi eksternal Anda yang menggunakan API ini untuk mengontrol akses ke enkripsi kunci yang disimpan dalam sistem eksternal.
Penyedia Identitas (IdP)
Layanan yang mengautentikasi pengguna sebelum mereka dapat mengenkripsi file atau mengakses file terenkripsi.

Enkripsi & dekripsi

Kunci Enkripsi Data (DEK)
Kunci yang digunakan Google Workspace di klien browser untuk mengenkripsi data itu sendiri.
Kunci Enkripsi Kunci (KEK)
Kunci dari layanan Anda yang digunakan untuk mengenkripsi Kunci Enkripsi Data (DEK).

Kontrol akses

Daftar Kontrol Akses (ACL)
Daftar pengguna atau grup yang dapat membuka atau membaca file.
Token Web JSON Autentikasi (JWT)
Token pembawa (JWT: RFC 7516) yang dikeluarkan oleh partner Identitas (IdP) untuk membuktikan identitas pengguna.
Otorisasi Token Web JSON (JWT)
Token pembawa (JWT: RFC 7516) dikeluarkan oleh Google untuk memverifikasi bahwa pemanggil diberi otorisasi untuk mengenkripsi atau mendekripsi resource.
Kumpulan Kunci Web JSON (JWKS)
URL endpoint hanya baca yang mengarah ke daftar kunci publik yang digunakan untuk memverifikasi Token Web JSON (JWT).
Keliling
Pemeriksaan tambahan dilakukan terhadap token autentikasi dan otorisasi dalam KACLS untuk kontrol akses.

Proses enkripsi sisi klien

Setelah administrator mengaktifkan CSE untuk organisasinya, pengguna yang CSE-nya akan dapat memilih untuk membuat dokumen terenkripsi menggunakan Google Workspace alat pembuat konten kolaboratif, seperti Dokumen dan Spreadsheet, atau mengenkripsi file yang mereka unggah ke Google Drive, seperti PDF.

Setelah pengguna mengenkripsi dokumen atau file:

  1. Google Workspace menghasilkan DEK di browser klien untuk mengenkripsi saat ini.

  2. Google Workspace mengirimkan DEK dan token autentikasi ke pihak ketiga KACLS untuk enkripsi, menggunakan URL yang Anda berikan ke Administrator organisasi Google Workspace.

  3. KACLS Anda menggunakan API ini untuk mengenkripsi DEK, lalu mengirimkan DEK yang dienkripsi kembali ke Google Workspace.

  4. Google Workspace menyimpan data terenkripsi yang di-obfuscate di cloud. Hanya pengguna yang memiliki akses ke KACLS Anda yang dapat mengakses data.

Untuk mengetahui detail selengkapnya, lihat Mengenkripsi dan mendekripsi file.

Langkah berikutnya