建構用於用戶端加密的自訂金鑰服務

您可以使用自己的加密金鑰來加密貴機構的資料。 而非使用 Google Workspace 提供的加密機制使用 Google Workspace 用戶端加密 (CSE) 功能時,檔案加密是在 用戶端瀏覽器,才能將檔案儲存在雲端硬碟的雲端式儲存空間。如此一來 Google 伺服器無法存取您的加密金鑰,因此無法解密 資料。詳情請參閱 關於用戶端加密

這個 API 可讓您控管保護資料的頂層加密金鑰 以及自訂外部金鑰服務建立外部金鑰服務之後 這個 API 可讓 Google Workspace 管理員連結至 API,並啟用 CSE 讓使用者享有低延遲和高可用性

重要術語

以下是 Google Workspace Client-side Encryption API 的常用詞彙:

用戶端加密 (CSE)
在儲存資料之前,系統會先在用戶端的瀏覽器中處理 雲端儲存空間。這樣可防止儲存空間讀取檔案 。瞭解詳情
金鑰存取控制清單服務 (KACLS)
使用這個 API 控管加密存取權的外部金鑰服務 儲存在外部系統中的金鑰
識別資訊提供者 (IdP)
這項服務會在使用者加密檔案或存取權前進行驗證 加密檔案

加密與解密

資料加密金鑰 (DEK)
Google Workspace 在瀏覽器用戶端用來加密資料的金鑰 本身。
金鑰加密金鑰 (KEK)
您的服務中的金鑰,用來加密資料加密金鑰 (DEK)。

存取權控管

存取控制清單 (ACL)
可以開啟或讀取檔案的使用者或群組清單。
驗證 JSON Web Token (JWT)
不記名權杖 (JWT:RFC 7516) 用於認證使用者身分的身分合作夥伴 (IdP) 所核發。
授權 JSON Web Token (JWT)
不記名權杖 (JWT:RFC 7516) 驗證呼叫端是否已獲得授權,可加密或解密資源。
JSON Web 金鑰集 (JWKS)
唯讀端點網址,指向用於驗證的公開金鑰清單 JSON Web Token (JWT)。
週長
對驗證和授權權杖進行額外檢查 但在 KACLS 中保有存取權控管

用戶端加密程序

管理員為機構啟用 CSE 後,使用者會成為 CSE 啟用後,可選擇使用 Google Workspace 建立加密文件 Google 文件和試算表等協作內容創作工具,或是加密檔案 上傳到 Google 雲端硬碟,例如 PDF

使用者將文件或檔案加密後:

  1. Google Workspace 會在用戶端瀏覽器中產生 DEK 來加密 內容。

  2. Google Workspace 將 DEK 和驗證權杖傳送給第三方 加密 KACLS (使用您提供給 Google Workspace 機構的管理員。

  3. 您的 KACLS 會使用此 API 加密 DEK,然後傳送經過模糊處理的 並將 DEK 加密傳回 Google Workspace。

  4. Google Workspace 會將經過模糊處理的加密資料儲存在雲端。 只有可存取您 KACLS 的使用者才能存取相關資料。

詳情請參閱加密及解密檔案

後續步驟