独自の暗号鍵を使用して組織のデータを暗号化することも、 Google Workspace が提供する暗号化を 使用する必要はありませんGoogle Workspace クライアントサイド暗号化(CSE)を使用すると、ファイルの暗号化は ドライブのクラウドベース ストレージに保存されます。これにより、 Google のサーバーが暗号鍵にアクセスできないため、暗号鍵を復号できません。 保護します。詳しくは、 クライアントサイド暗号化について
この API を使用すると、データを保護する最上位の暗号鍵を制御できます カスタム外部鍵サービスと通信します。外部鍵サービスの作成後 Google Workspace 管理者がこの API に接続して CSE を有効にすれば、 提供します
重要な用語
以下は、Google Workspace Client-side Encryption API で使用される一般的な用語のリストです。
- クライアントサイド暗号化(CSE)
- クライアントのブラウザで処理される暗号化。データがクライアントに保存される前に クラウドベースのストレージを提供します。これにより、ストレージからファイルが読み取られないように 接続します。詳細
- Key Access Control List Service(KACLS)
- この API を使用して暗号化へのアクセスを制御する外部鍵サービス 外部システムに保存された鍵です。
- ID プロバイダ(IdP)
- ユーザーがファイルを暗号化したりアクセスしたりする前に、ユーザーを認証するサービス 暗号化されます。
暗号化と復号
- データ暗号鍵(DEK)
- ブラウザ クライアントで Google Workspace がデータの暗号化に使用する鍵
- 鍵暗号鍵(KEK)
- データ暗号鍵(DEK)の暗号化に使用されるサービスの鍵。
アクセス制御
- アクセス制御リスト(ACL)
- ファイルを開いたり読み取りしたりできるユーザーまたはグループのリスト。
- Authentication JSON Web Token(JWT)
- 署名なしトークン(JWT: RFC 7516) ユーザー ID を証明するために、ID パートナー(IdP)が発行した ID です。
- Authorization JSON Web Token(JWT)
- 署名なしトークン(JWT: RFC 7516) 呼び出し元にリソースの暗号化または復号の権限があることを確認します。
- JSON Web Key Set(JWKS)
- 検証に使用される公開鍵のリストを参照する読み取り専用のエンドポイント URL JSON Web Token(JWT)。
- 境界
- 認証トークンと認可トークンに対して実行される追加のチェック アクセスを制御します。
クライアントサイド暗号化プロセス
管理者が組織で CSE を有効にした後は、CSE が適用されたユーザー Google Workspace エディションを使用して暗号化されたドキュメントを コラボレーション コンテンツ作成ツールを使用できます。また、ファイルを暗号化し、 Google ドライブにアップロードできます。
ユーザーがドキュメントまたはファイルを暗号化した後:
Google Workspace はクライアント ブラウザで DEK を生成し、 説明します。
Google Workspace が DEK と認証トークンをサードパーティに送信する 暗号化には KACLS を使用します。暗号化には、ユーザーが Cloud Logging に Google Workspace 組織の管理者。
KACLS はこの API を使用して DEK を暗号化し、難読化された 暗号化された DEK が Google Workspace に返されます。
Google Workspace では、難読化され、暗号化されたデータがクラウドに保存されます。 KACLS にアクセスできるユーザーのみがデータにアクセスできます。
詳しくは、ファイルを暗号化、復号するをご覧ください。
次のステップ
- サービスの構成方法を学習する。
- 詳しくは、Google Chat でデータの復号。