Вы можете использовать собственные ключи шифрования для шифрования данных вашей организации вместо шифрования, предоставляемого Google Workspace. Благодаря шифрованию на стороне клиента Google Workspace (CSE) шифрование файлов выполняется в браузере клиента, прежде чем они сохраняются в облачном хранилище Диска. Таким образом, серверы Google не смогут получить доступ к вашим ключам шифрования и, следовательно, не смогут расшифровать ваши данные. Дополнительные сведения см. в разделе О шифровании на стороне клиента .
Этот API позволяет вам управлять ключами шифрования верхнего уровня, которые защищают ваши данные с помощью специального внешнего сервиса ключей. После того как вы создадите внешний сервис ключей с помощью этого API, администраторы Google Workspace смогут подключиться к нему и включить CSE для своих пользователей.
Важная терминология
Ниже приведен список общих терминов, используемых в API шифрования на стороне клиента Google Workspace:
- Шифрование на стороне клиента (CSE)
- Шифрование, которое обрабатывается в браузере клиента перед сохранением в облачном хранилище. Это защищает файл от чтения поставщиком хранилища. Узнать больше
- Служба списков управления доступом к ключам (KACLS)
- Ваша внешняя служба ключей, которая использует этот API для управления доступом к ключам шифрования, хранящимся во внешней системе.
- Поставщик удостоверений (IdP)
- Служба, которая аутентифицирует пользователей, прежде чем они смогут зашифровать файлы или получить доступ к зашифрованным файлам.
Шифрование и дешифрование
- Ключ шифрования данных (DEK)
- Ключ, используемый Google Workspace в клиенте браузера для шифрования самих данных.
- Ключ шифрования (KEK)
- Ключ вашего сервиса, используемый для шифрования ключа шифрования данных (DEK).
Контроль доступа
- Список контроля доступа (ACL)
- Список пользователей или групп, которые могут открывать или читать файл.
- Веб-токен аутентификации JSON (JWT)
- Токен носителя ( JWT: RFC 7516 ), выданный партнером по идентификации (IdP) для подтверждения личности пользователя.
- Авторизация JSON Web Token (JWT)
- Токен носителя ( JWT: RFC 7516 ), выданный Google для проверки того, что вызывающая сторона имеет право шифровать или дешифровать ресурс.
- Набор веб-ключей JSON (JWKS)
- URL-адрес конечной точки, доступный только для чтения, который указывает на список открытых ключей, используемых для проверки веб-токенов JSON (JWT).
- Периметр
- Дополнительные проверки, выполняемые на токенах аутентификации и авторизации в KACLS для контроля доступа.
Процесс шифрования на стороне клиента
После того как администратор включит CSE для своей организации, пользователи, для которых включен CSE, смогут создавать зашифрованные документы с помощью инструментов для совместного создания контента Google Workspace, таких как Документы и Таблицы, или шифровать файлы, которые они загружают на Google Диск, например PDF-файлы.
После того как пользователь зашифрует документ или файл:
Google Workspace генерирует DEK в клиентском браузере для шифрования контента.
Google Workspace отправляет DEK и токены аутентификации на ваш сторонний KACLS для шифрования, используя URL-адрес, который вы предоставляете администратору организации Google Workspace.
Ваш KACLS использует этот API для шифрования DEK, а затем отправляет запутанный зашифрованный DEK обратно в Google Workspace.
Google Workspace хранит запутанные зашифрованные данные в облаке. Только пользователи, имеющие доступ к вашему KACLS, могут получить доступ к данным.
Дополнительные сведения см. в разделе Шифрование и расшифровка файлов .
Следующие шаги
- Узнайте, как настроить службу .
- Узнайте, как шифровать и расшифровывать данные .