建構用於用戶端加密的自訂金鑰服務

您可以使用自己的加密金鑰來加密貴機構的資料,而非使用 Google Workspace 提供的加密功能。只要啟用 Google Workspace 用戶端加密 (CSE) 功能,系統會先在用戶端的瀏覽器中處理檔案加密作業,再將檔案儲存在雲端硬碟的雲端儲存空間。這麼一來,Google 伺服器就無法存取您的加密金鑰,也無法解密資料。詳情請參閱「關於用戶端加密」。

這個 API 可讓您透過自訂外部金鑰服務,控管用於保護資料的頂層加密金鑰。使用這個 API 建立外部金鑰服務後,Google Workspace 管理員就能連線至該服務,並為使用者啟用 CSE。

重要術語

以下列出 Google Workspace Client-side Encryption API 中常用的術語:

用戶端加密 (CSE)
在將資料儲存在雲端儲存空間前,先在用戶端瀏覽器中處理加密作業。這可防止儲存空間供應器讀取檔案。瞭解詳情
金鑰存取控管清單服務 (KACLS)
您的外部金鑰服務會使用這個 API 控制存放在外部系統中的加密金鑰存取權。
識別資訊提供者 (IdP)
這項服務會驗證使用者,讓他們能夠將檔案加密或存取加密的檔案。

加密與解密

資料加密金鑰 (DEK)
Google Workspace 在瀏覽器用戶端中用來加密資料本身的金鑰。
金鑰加密金鑰 (KEK)
服務提供的金鑰,用於加密資料加密金鑰 (DEK)。

存取權控管

存取控制清單 (ACL)
可開啟或讀取檔案的使用者或群組清單。
驗證 JSON Web Token (JWT)
識別資訊合作夥伴 (IdP) 核發的權杖 (JWT:RFC 7516),用於驗證使用者的身分。
授權 JSON Web Token (JWT)
Google 核發的權杖權杖 (JWT:RFC 7516),用於驗證呼叫端是否有權對資源進行加密或解密。
JSON Web Key Set (JWKS)
只讀端點網址,指向用於驗證 JSON Web Token (JWT) 的公開金鑰清單。
周邊
針對 KACLS 中的驗證和授權權杖執行其他存取權控管檢查。

用戶端加密程序

管理員為貴機構啟用 CSE 後,已啟用 CSE 的使用者就能選擇使用 Google Workspace 協作內容建立工具 (例如 Google 文件和試算表) 建立加密文件,或是將上傳到 Google 雲端硬碟的檔案 (例如 PDF) 加密。

使用者加密文件或檔案後:

  1. Google Workspace 會在用戶端瀏覽器中產生 DEK,用於加密內容。

  2. Google Workspace 會使用您提供給 Google Workspace 機構管理員的網址,將 DEK 和驗證權杖傳送至第三方 KACLS 進行加密。

  3. KACLS 會使用這個 API 加密 DEK,然後將經過模糊處理的加密 DEK 傳回 Google Workspace。

  4. Google Workspace 會將經過模糊處理且經過加密的資料儲存在雲端。只有具備 KACLS 存取權的使用者才能存取資料。

詳情請參閱「加密及解密檔案」。

後續步驟