إنشاء خدمة إدارة مفاتيح تشفير مخصَّصة لميزة "التشفير من جهة العميل"

يمكنك استخدام مفاتيح التشفير الخاصة بك لتشفير بيانات مؤسستك بدلاً من استخدام التشفير الذي توفّره Google Workspace. باستخدام ميزة "التشفير من جهة العميل" في Google Workspace، يتم التعامل مع عملية تشفير الملفات في متصفّح العميل قبل تخزينها في مساحة تخزين Drive المستنِدة إلى السحابة الإلكترونية. وبهذه الطريقة، لا يمكن لخوادم Google الوصول إلى مفاتيح التشفير، وبالتالي لا يمكنها فك تشفير بياناتك. لمعرفة مزيد من التفاصيل، راجِع المقالة لمحة عن ميزة "التشفير من جهة العميل".

تتيح لك واجهة برمجة التطبيقات هذه التحكّم في مفاتيح التشفير ذات المستوى الأعلى التي تحمي بياناتك باستخدام خدمة إدارة مفاتيح تشفير خارجية مخصَّصة. بعد إنشاء خدمة إدارة مفاتيح تشفير خارجية باستخدام واجهة برمجة التطبيقات هذه، يمكن لمشرفي Google Workspace الربط بها وتفعيل ميزة "التشفير من جهة العميل" للمستخدمين.

مصطلحات مهمة

في ما يلي قائمة بالمصطلحات الشائعة المستخدَمة في Google Workspace Client-side Encryption API:

التشفير من جهة العميل (CSE)
عملية التشفير التي تتم معالجتها في متصفّح العميل قبل تخزينها في مساحة تخزين مستندة إلى السحابة الإلكترونية يمنع ذلك موفّر مساحة التخزين من قراءة الملف. مزيد من المعلومات
خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS)
خدمة إدارة مفاتيح التشفير الخارجية التي تستخدم واجهة برمجة التطبيقات هذه للتحكّم في الوصول إلى مفاتيح التشفير المُخزَّنة في نظام خارجي
موفِّر الهوية (IdP)
الخدمة التي تصادق المستخدمين قبل أن يتمكنوا من تشفير الملفات أو الوصول إلى الملفات المشفّرة.

التشفير وفك التشفير

مفتاح تشفير البيانات (DEK)
المفتاح الذي تستخدمه Google Workspace في برنامج المتصفح لتشفير البيانات ذاتها.
مفتاح تشفير المفتاح (KEK)
مفتاح من خدمتك يُستخدَم لتشفير "مفتاح تشفير البيانات" (DEK).

التحكّم في إمكانية الوصول

قائمة التحكم بالوصول (ACL)
قائمة بالمستخدمين أو المجموعات التي يمكنها فتح ملف أو قراءته
رمز JSON المميّز للويب للمصادقة (JWT)
رمز الحامل المميّز (JWT: RFC 7516) الصادر عن شريك الهوية (IdP) لإثبات هوية المستخدم.
رمز JSON المميّز للويب للمصادقة (JWT)
رمز الحامل المميّز (JWT: RFC 7516) الذي أصدرته Google للتحقّق من أنّ المتصل مُصرَّح له بتشفير مورد أو فك تشفيره.
مجموعة مفاتيح ويب JSON (JWKS)
عنوان URL لنقطة نهاية للقراءة فقط يوجِّه إلى قائمة بالمفاتيح العامة المستخدَمة لإثبات ملكية الرموز المميزة بتنسيق JSON للويب (JWT).
المحيط
عمليات تحقق إضافية يتم إجراؤها على الرموز المميزة للمصادقة والترخيص داخل نظام KACLS للتحكم في الوصول.

عملية التشفير من جهة العميل

بعد أن يفعّل المشرف ميزة "التشفير من جهة العميل" لمؤسسته، يمكن للمستخدمين الذين تم تفعيل ميزة "التشفير من جهة العميل" لهم اختيار إنشاء مستندات مشفّرة باستخدام أدوات إنشاء المحتوى التعاوني في Google Workspace، مثل "مستندات Google" و"جداول بيانات Google"، أو تشفير الملفات التي يتم تحميلها إلى Google Drive، مثل ملفات PDF.

بعد تشفير المستخدم لمستند أو ملف:

  1. تنشئ Google Workspace وحدة DEK في متصفّح العميل لتشفير المحتوى.

  2. ترسِل Google Workspace رموز DEK والرموز المميّزة للمصادقة إلى نظام KACLS التابع لجهة خارجية من أجل التشفير، وذلك باستخدام عنوان URL تقدّمه إلى مشرف مؤسسة Google Workspace.

  3. يستخدم نظام KACLS واجهة برمجة التطبيقات هذه لتشفير DEK، ثم يُعيد إرسال DEK المشفر والمشفَّر إلى Google Workspace.

  4. تخزِّن Google Workspace البيانات المشفَّرة والمخفية في السحابة الإلكترونية. يمكن فقط للمستخدمين الذين لديهم حق الوصول إلى نظام KACLS الوصول إلى البيانات.

لمعرفة مزيد من التفاصيل، يُرجى الاطّلاع على تشفير الملفات وفك تشفيرها.

الخطوات التالية