Вы можете использовать собственные ключи шифрования для шифрования данных вашей организации вместо шифрования, предоставляемого Google Workspace. В Google Workspace Client-side Encryption (CSE) шифрование файлов осуществляется в браузере клиента до их сохранения в облачном хранилище Google Drive. Таким образом, серверы Google не могут получить доступ к вашим ключам шифрования и, следовательно, не могут расшифровать ваши данные. Более подробную информацию см. в разделе «О шифровании на стороне клиента» .
Этот API позволяет управлять ключами шифрования верхнего уровня, защищающими ваши данные, с помощью пользовательской внешней службы ключей. После создания внешней службы ключей с помощью этого API администраторы Google Workspace смогут подключиться к ней и включить CSE для своих пользователей.
Важная терминология
Ниже приведён список распространённых терминов, используемых в API шифрования на стороне клиента Google Workspace:
- Шифрование на стороне клиента (CSE)
- Шифрование выполняется в браузере клиента перед сохранением файла в облачном хранилище. Это защищает файл от чтения поставщиком услуг хранения. Подробнее
- Служба списков контроля доступа по ключу (KACLS)
- Ваш внешний сервис ключей, использующий этот API для управления доступом к ключам шифрования, хранящимся во внешней системе.
- Поставщик идентификационных данных (IdP)
- Сервис, который аутентифицирует пользователей, прежде чем они смогут зашифровать файлы или получить доступ к зашифрованным файлам.
Шифрование и дешифрование
- Ключ шифрования данных (DEK)
- Ключ, используемый Google Workspace в браузерном клиенте для шифрования самих данных.
- Ключ шифрования (KEK)
- Ключ от вашей службы используется для шифрования ключа шифрования данных (DEK).
контроль доступа
- Список контроля доступа (ACL)
- Список пользователей или групп, которым разрешено открывать или читать файл.
- Аутентификация: JSON Web Token (JWT)
- Токен носителя ( JWT: RFC 7519 ), выдаваемый поставщиком идентификационных данных (IdP) для подтверждения личности пользователя.
- Авторизационный JSON-токен (JWT)
- Токен Bearer ( JWT: RFC 7519 ), выдаваемый Google для подтверждения того, что вызывающая сторона имеет право шифровать или расшифровывать ресурс.
- Набор веб-ключей JSON (JWKS)
- URL-адрес конечной точки только для чтения, указывающий на список открытых ключей, используемых для проверки JSON Web Tokens (JWT).
- Периметр
- В рамках системы KACLS для контроля доступа выполняются дополнительные проверки токенов аутентификации и авторизации.
Процесс шифрования на стороне клиента
После того как администратор включит CSE для своей организации, пользователи, для которых включена CSE, смогут создавать зашифрованные документы с помощью инструментов для совместной работы с контентом Google Workspace, таких как Docs и Sheets, или шифровать файлы, загружаемые в Google Диск, например, PDF-файлы.
После того, как пользователь зашифрует документ или файл:
Google Workspace генерирует DEK в браузере клиента для шифрования контента.
Google Workspace отправляет DEK и токены аутентификации в ваш сторонний KACLS для шифрования, используя URL-адрес, который вы предоставляете администратору организации Google Workspace.
Ваш KACLS использует этот API для шифрования DEK, а затем отправляет обфусцированный, зашифрованный DEK обратно в Google Workspace.
Google Workspace хранит зашифрованные и обфусцированные данные в облаке. Доступ к данным имеют только пользователи, имеющие доступ к вашим KACLS.
Для получения более подробной информации см. раздел «Шифрование и расшифровка файлов» .
Следующие шаги
- Узнайте, как настроить вашу службу .
- Узнайте, как шифровать и расшифровывать данные .