Omówienie interfejsu szyfrowania po stronie klienta w Google Workspace

Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Do szyfrowania danych organizacji możesz używać własnych kluczy szyfrowania, zamiast szyfrowania wybranego przez Google Workspace. W ramach szyfrowania po stronie klienta w Google Workspace szyfrowanie plików odbywa się w przeglądarce klienta, zanim zostanie ono zapisane w chmurze na Dysku. Dzięki temu serwery Google nie mają dostępu do Twoich kluczy szyfrowania i nie mogą odszyfrowywać Twoich danych. Więcej informacji znajdziesz w artykule na temat szyfrowania po stronie klienta.

Ten interfejs pozwala kontrolować klucze szyfrowania najwyższego poziomu, które chronią Twoje dane za pomocą niestandardowej zewnętrznej usługi kluczy. Gdy utworzysz zewnętrzną usługę kluczy za pomocą tego interfejsu API, administratorzy Google Workspace będą mogli połączyć się z nią i włączyć szyfrowanie po stronie klienta dla swoich użytkowników.

Ważne terminy

Oto lista popularnych terminów używanych w interfejsie Google Workspace Client Encryption API.

Szyfrowanie po stronie klienta
Szyfrowanie obsługiwane w przeglądarce klienta, zanim zostanie zapisane w chmurze. Zabezpiecza to plik przed odczytaniem przez dostawcę miejsca na dane. Więcej informacji
Usługa listy kontroli dostępu do kluczy
Zewnętrzna usługa kluczy, która używa tego interfejsu API do kontrolowania dostępu do kluczy szyfrowania przechowywanych w systemie zewnętrznym.
Dostawca tożsamości
Usługa uwierzytelniania użytkowników, zanim zaszyfruje on pliki lub uzyska dostęp do zaszyfrowanych plików.

Szyfrowanie i odszyfrowywanie

Klucz szyfrowania danych (DEK)
Klucz używany przez Google Workspace w kliencie przeglądarki do szyfrowania samych danych.
Klucz szyfrowania KEK
Klucz z Twojej usługi używany do szyfrowania klucza szyfrowania danych (DEK).

Kontrola dostępu

Lista kontroli dostępu (ACL)
Lista użytkowników lub grup, którzy mogą otwierać lub odczytywać pliki.
Token sieciowy uwierzytelniania JSON (JWT)
Token okaziciela (JWT: RFC 7516) wydany przez partnera tożsamości w celu potwierdzenia tożsamości użytkownika.
Token sieciowy autoryzacji JSON (JWT)
Token okaziciela (JWT: RFC 7516) wydany przez Google w celu zweryfikowania, czy element wywołujący jest szyfrowany lub odszyfrowywany przez zasób.
Zestaw kluczy internetowych JSON (JWKS)
URL tylko do odczytu wskazujący listę kluczy publicznych używanych do weryfikacji tokenów sieciowych JSON (JWT).
Granica
Dodatkowa kontrola tokenów uwierzytelniania i autoryzacji w KACLS w celu kontroli dostępu.

Proces szyfrowania po stronie klienta

Gdy administrator włączy szyfrowanie po stronie klienta w organizacji, użytkownicy, dla których ta funkcja będzie włączona, będą mogli tworzyć zaszyfrowane dokumenty przy użyciu narzędzi do wspólnego tworzenia treści w Google Workspace, takich jak Dokumenty i Arkusze, lub szyfrować pliki przesłane na Dysk Google, na przykład pliki PDF.

Gdy użytkownik zaszyfruje dokument lub plik:

  1. Aby zaszyfrować treść, Google Workspace generuje w przeglądarce klienta pakiet DEK.

  2. Google Workspace wysyła tokeny uwierzytelniania i tokeny uwierzytelniania do zewnętrznej organizacji KACLS w celu szyfrowania za pomocą adresu URL podanego przez Ciebie administratora organizacji w Google Workspace.

  3. KACLS używa tego interfejsu API do szyfrowania platformy DEK, a następnie przesyłania zniekształconego, zaszyfrowanego DEK do Google Workspace.

  4. Zaciemnione, zaszyfrowane dane w Google Workspace są przechowywane w chmurze. Dostęp do danych mogą uzyskać tylko użytkownicy, którzy mają włączone szyfrowanie po stronie klienta i dostęp do kluczy KACLS.

Więcej informacji znajdziesz w artykule Szyfrowanie i odszyfrowywanie plików.

Dalsze kroki