您可以使用自己的加密金鑰來加密貴機構的資料,而非使用 Google Workspace 提供的加密。如果使用 Google Workspace 用戶端加密 (CSE) 功能,檔案加密會先在用戶端的瀏覽器中處理,然後才會儲存至雲端硬碟的雲端式儲存空間。這麼一來,Google 伺服器就無法存取您的加密金鑰,因此無法解密資料。詳情請參閱「關於用戶端加密」。
此 API 可讓您控制使用自訂外部金鑰服務保護資料的頂層加密金鑰。使用這個 API 建立外部金鑰服務後,Google Workspace 管理員可以連線至該服務,並為使用者啟用 CSE。
重要術語
以下是 Google Workspace Client-side Encryption API 的常見用語:
- 用戶端加密 (CSE) 功能
- 將資料儲存至雲端式儲存空間之前,在用戶端瀏覽器中處理的加密作業。這可以防止儲存空間供應商讀取檔案。瞭解詳情
- 金鑰存取控制清單 (KACLS)
- 使用這個 API 的外部金鑰服務,用於控管儲存在外部系統中的加密金鑰的存取權。
- 識別資訊提供者 (IdP)
- 在使用者加密檔案或存取加密檔案的前,進行驗證的服務。
加密與解密
- 資料加密金鑰 (DEK)
- Google Workspace 在瀏覽器用戶端上用來自行加密資料的金鑰。
- 金鑰加密金鑰 (KEK)
- 服務中的金鑰,用於加密資料加密金鑰 (DEK)。
存取權控管
- 存取控制清單 (ACL)
- 可開啟或讀取檔案的使用者或群組清單。
- 驗證 JSON Web Token (JWT)
- 識別資訊提供者 (IdP) 核發的暫時權杖 (JWT:RFC 7516),用於認證使用者的身分。
- 授權 JSON Web Token (JWT)
- Google 核發的暫時權杖 (JWT:RFC 7516),用於驗證呼叫端是否有權加密或解密資源。
- JSON Web Key Set (JWKS)
- 唯讀端點網址,指向用於驗證 JSON Web Token (JWT) 的公開金鑰清單。
- 週長
- 針對存取權控管,KACLS 中的驗證和授權權杖執行的其他檢查。
用戶端加密程序
管理員為機構啟用 CSE 後,已啟用 CSE 的使用者可以選擇使用 Google Workspace 協作內容建立工具 (例如文件和試算表) 建立加密文件,或是為上傳至 Google 雲端硬碟的檔案 (例如 PDF) 加密。
使用者加密文件或檔案後:
Google Workspace 在用戶端瀏覽器中產生 DEK 以加密內容。
Google Workspace 會使用您提供給 Google Workspace 機構管理員的網址,將 DEK 和驗證權杖傳送至第三方 KACLS 進行加密。
KACLS 會使用這個 API 加密 DEK,然後將經過模糊化處理的加密 DEK 傳回 Google Workspace。
Google Workspace 會將經過模糊處理的加密資料儲存在雲端。只有具備 KACLS 存取權的使用者才能存取資料。
詳情請參閱加密及解密檔案。