Ta strona została przetłumaczona przez Cloud Translation API.

Tworzenie niestandardowej usługi kluczy na potrzeby szyfrowania po stronie klienta

Do szyfrowania danych organizacji możesz używać własnych kluczy szyfrowania. zamiast korzystać z szyfrowania zapewnianego przez Google Workspace. W przypadku szyfrowania po stronie klienta Google Workspace szyfrowanie plików jest obsługiwane z przeglądarki klienta przed zapisaniem ich w chmurze na Dysku. Dzięki temu Serwery Google nie mają dostępu do Twoich kluczy szyfrowania, więc nie mogą odszyfrować danych. Więcej informacji: Informacje o szyfrowaniu po stronie klienta

Ten interfejs API umożliwia kontrolę nad kluczami szyfrowania najwyższego poziomu, które chronią Twoje dane za pomocą niestandardowej zewnętrznej usługi kluczy. Po utworzeniu zewnętrznej usługi kluczy za pomocą tego interfejsu API administratorzy Google Workspace mogą się z nim połączyć i włączyć szyfrowanie po stronie klienta dla użytkowników.

Ważna terminologia

Poniżej znajduje się lista popularnych terminów używanych w interfejsie Google Workspace Client-side Encryption API:

Szyfrowanie po stronie klienta: Szyfrowanie obsługiwane w przeglądarce klienta, zanim zostanie zapisane w w chmurze. Chroni to przed odczytem pliku przez pamięć masową. dostawcy usług. Więcej informacji
Usługa listy kontroli dostępu do kluczy (KACLS): Zewnętrzna usługa kluczy, która używa tego interfejsu API do kontrolowania dostępu do szyfrowania kluczy zapisanych w systemie zewnętrznym.
Dostawca tożsamości: Usługa, która uwierzytelnia użytkowników, zanim będą mogli zaszyfrować pliki lub uzyskać dostęp do nich zaszyfrowanych plików.

Szyfrowanie odszyfrowywanie

Klucz szyfrowania danych (DEK): Klucz używany przez Google Workspace w kliencie przeglądarki do szyfrowania danych
Klucz szyfrowania klucza (KEK): Klucz z Twojej usługi używany do szyfrowania klucza szyfrowania danych (DEK).

Kontrola dostępu

Lista kontroli dostępu (ACL): Lista użytkowników lub grup, którzy mogą otwierać lub odczytywać plik.
Token sieciowy JSON uwierzytelniania (JWT): Token okaziciela (JWT: RFC 7516) wydawane przez dostawcę tożsamości w celu potwierdzenia tożsamości użytkownika.
Token internetowy JSON (JWT) autoryzacji: Token okaziciela (JWT: RFC 7516) wydawane przez Google w celu zweryfikowania, czy użytkownik wywołujący jest upoważniony do szyfrowania lub odszyfrowywania zasobu.
Zbiór kluczy internetowych JSON (JWKS): Adres URL punktu końcowego tylko do odczytu, który wskazuje listę kluczy publicznych używanych do weryfikacji Tokeny internetowe JSON (JWT).
Obwód: Tokeny uwierzytelniania i autoryzacji zostały sprawdzone przez dodatkowe testy w ramach kontroli dostępu w ramach KACLS.

Proces szyfrowania po stronie klienta

Gdy administrator włączy szyfrowanie po stronie klienta w swojej organizacji, użytkownicy, dla których jest ono włączone mogą tworzyć zaszyfrowane dokumenty za pomocą Google Workspace narzędzia do wspólnego tworzenia treści, takie jak Dokumenty i Arkusze, lub do szyfrowania plików które przesyłają na Dysk Google, np. pliki PDF.

Gdy użytkownik zaszyfruje dokument lub plik:

Google Workspace generuje w przeglądarce klienta klucz DEK do zaszyfrowania treści.
Google Workspace wysyła DEK i tokeny uwierzytelniania do firmy zewnętrznej do szyfrowania KACLS przy użyciu adresu URL podanego przez administratorem Google Workspace organizacji.
KACLS używa tego interfejsu API do szyfrowania klucza DEK, a następnie wysyła zaciemniony kod, zaszyfrować DEK z powrotem do Google Workspace.
Google Workspace przechowuje zaciemnione, zaszyfrowane dane w chmurze. Dostęp do danych mają tylko użytkownicy z dostępem do KACLS.

Więcej informacji znajdziesz w artykule Szyfrowanie i odszyfrowywanie plików.

Dalsze kroki

Dowiedz się, jak skonfigurować usługę.
Dowiedz się, jak szyfrować odszyfrować dane.