สร้างบริการจัดการคีย์ที่กําหนดเองสําหรับการเข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนที่จะใช้การเข้ารหัสที่ Google Workspace ให้ไว้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ในเบราว์เซอร์ไคลเอ็นต์ก่อนที่จะจัดเก็บไฟล์ไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ของ Google ไดรฟ์ ซึ่งการดำเนินการนี้จะทำให้เซิร์ฟเวอร์ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัสและถอดรหัสข้อมูลของคุณ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณด้วยบริการจัดการคีย์ภายนอกที่กำหนดเองได้ หลังจากสร้างบริการจัดการคีย์ภายนอกด้วย API นี้แล้ว ผู้ดูแลระบบ Google Workspace จะสามารถเชื่อมต่อกับบริการดังกล่าวและเปิดใช้ CSE ให้กับผู้ใช้ได้

คำศัพท์ที่สำคัญ

ด้านล่างนี้คือรายการคำที่ใช้กันทั่วไปใน Google Workspace Client-side Encryption API

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)

การเข้ารหัสที่จัดการในเบราว์เซอร์ไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ ซึ่งจะช่วยปกป้องไฟล์ไม่ให้ผู้ให้บริการพื้นที่เก็บข้อมูลอ่านได้ ดูข้อมูลเพิ่มเติม

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)

บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสที่จัดเก็บไว้ในระบบภายนอก

ผู้ให้บริการข้อมูลประจำตัว (IdP)

บริการที่ตรวจสอบสิทธิ์ผู้ใช้ก่อนจะอนุญาตให้เข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัส

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)

คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์เบราว์เซอร์เพื่อเข้ารหัสข้อมูลเอง

คีย์การเข้ารหัสคีย์ (KEK)

คีย์จากบริการของคุณที่ใช้เพื่อเข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)

รายการผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้

JSON Web Token (JWT) สำหรับการตรวจสอบสิทธิ์

โทเค็นผู้รับ (JWT: RFC 7519) ที่ออกโดย ผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

JSON Web Token (JWT) สำหรับการให้สิทธิ์

โทเค็นผู้รับ (JWT: RFC 7519) ที่ออกโดย Google เพื่อยืนยันว่าผู้เรียกได้รับอนุญาตให้เข้ารหัสหรือถอดรหัส ทรัพยากร

JSON Web Key Set (JWKS)

URL ปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้เพื่อยืนยัน JSON Web Token (JWT)

ขอบเขต

การตรวจสอบเพิ่มเติมที่ดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS เพื่อควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE ให้กับองค์กรแล้ว ผู้ใช้ที่เปิดใช้ CSE จะเลือกสร้างเอกสารที่เข้ารหัสโดยใช้เครื่องมือสร้างเนื้อหาแบบทำงานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ที่อัปโหลดไปยังไดรฟ์ เช่น PDF ก็ได้

หลังจากที่ผู้ใช้เข้ารหัสเอกสารหรือไฟล์แล้ว ระบบจะดำเนินการดังนี้

1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ไคลเอ็นต์เพื่อเข้ารหัสเนื้อหา

2. Google Workspace จะส่ง DEK และโทเค็นการตรวจสอบสิทธิ์ไปยัง KACLS ของบุคคลที่สามเพื่อเข้ารหัส โดยใช้ URL ที่คุณระบุให้กับผู้ดูแลระบบขององค์กร Google Workspace

3. KACLS ของคุณจะใช้ API นี้เพื่อเข้ารหัส DEK แล้วส่ง DEK ที่เข้ารหัสและทำให้สับสนกลับไปยัง Google Workspace

4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสและทำให้สับสนไว้ในระบบคลาวด์ โดยมีเพียงผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS เท่านั้นที่จะเข้าถึงข้อมูลได้

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเข้ารหัสและถอดรหัส ไฟล์

ขั้นตอนถัดไป

• ดูวิธีกำหนดค่าบริการกำหนดค่า บริการ
• ดูวิธีเข้ารหัสและถอดรหัส ข้อมูล