สร้างบริการจัดการคีย์ที่กําหนดเองสําหรับการเข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนที่จะใช้การเข้ารหัสที่ Google Workspace มีให้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ของ Google ไดรฟ์ ซึ่งการดำเนินการนี้จะทำให้เซิร์ฟเวอร์ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัส และถอดรหัสข้อมูลของคุณ ดูรายละเอียดเพิ่มเติมได้ที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณ ด้วยบริการจัดการคีย์ภายนอกที่กำหนดเองได้ หลังจากสร้างบริการจัดการคีย์ภายนอกด้วย API นี้แล้ว ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อกับบริการดังกล่าวและเปิดใช้ CSE ให้กับผู้ใช้ได้

คำศัพท์สำคัญ

ด้านล่างนี้คือรายการคำศัพท์ทั่วไปที่ใช้ใน Google Workspace Client-side Encryption API

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)

การเข้ารหัสที่จัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ใน พื้นที่เก็บข้อมูลในระบบคลาวด์ ซึ่งจะช่วยป้องกันไม่ให้ผู้ให้บริการพื้นที่เก็บข้อมูลอ่านไฟล์ ดูข้อมูล เพิ่มเติม

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)

บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัส ที่จัดเก็บไว้ในระบบภายนอก

ผู้ให้บริการข้อมูลประจำตัว (IdP)

บริการที่ตรวจสอบสิทธิ์ผู้ใช้ก่อนจะอนุญาตให้เข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัส

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)

คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์เบราว์เซอร์เพื่อเข้ารหัส ข้อมูลเอง

คีย์การเข้ารหัสคีย์ (KEK)

คีย์จากบริการของคุณที่ใช้เพื่อเข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)

รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้

JSON Web Token (JWT) สำหรับการตรวจสอบสิทธิ์

โทเค็น Bearer (JWT: RFC 7519) ที่ออกโดย ผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

JSON Web Token (JWT) การให้สิทธิ์

โทเค็นผู้ถือ (JWT: RFC 7519) ที่ออกโดย Google เพื่อยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสหรือถอดรหัส ทรัพยากร

ชุดคีย์เว็บ JSON (JWKS)

URL ของปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้เพื่อยืนยัน JSON Web Token (JWT)

Perimeter

การตรวจสอบเพิ่มเติมที่ดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ ภายใน KACLS สำหรับการควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE สำหรับองค์กรแล้ว ผู้ใช้ที่เปิดใช้ CSE ให้จะเลือกสร้างเอกสารที่เข้ารหัสโดยใช้เครื่องมือสร้างเนื้อหาแบบทำงานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ที่อัปโหลดไปยังไดรฟ์ เช่น PDF ก็ได้

หลังจากที่ผู้ใช้เข้ารหัสเอกสารหรือไฟล์แล้ว

1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ของไคลเอ็นต์เพื่อเข้ารหัส เนื้อหา

2. Google Workspace จะส่ง DEK และโทเค็นการตรวจสอบสิทธิ์ไปยัง KACLS ของบุคคลที่สามเพื่อทำการเข้ารหัส โดยใช้ URL ที่คุณระบุให้กับผู้ดูแลระบบขององค์กร Google Workspace

3. KACLS จะใช้ API นี้เพื่อเข้ารหัส DEK จากนั้นจะส่ง DEK ที่เข้ารหัสและมีการปิดบังกลับไปยัง Google Workspace

4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสและทำให้สับสนไว้ในระบบคลาวด์ เฉพาะผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS เท่านั้นที่จะเข้าถึงข้อมูลได้

ดูรายละเอียดเพิ่มเติมได้ที่หัวข้อเข้ารหัสและถอดรหัส ไฟล์

ขั้นตอนถัดไป

• ดูวิธีกำหนดค่า บริการ
• ดูวิธีเข้ารหัสและถอดรหัส ข้อมูล