Ta strona została przetłumaczona przez Cloud Translation API.

Tworzenie niestandardowej usługi kluczy na potrzeby szyfrowania po stronie klienta

Do szyfrowania danych organizacji możesz używać własnych kluczy szyfrowania zamiast szyfrowania zapewnianego w Google Workspace. W ramach szyfrowania po stronie klienta w Google Workspace szyfrowanie plików jest obsługiwane w przeglądarce klienta, zanim zostaną zapisane w chmurze Dysku. Dzięki temu serwery Google nie mogą uzyskać dostępu do Twoich kluczy szyfrowania i tym samym odszyfrować Twoich danych. Więcej informacji znajdziesz w artykule Informacje o szyfrowaniu po stronie klienta.

Ten interfejs API pozwala kontrolować klucze szyfrowania najwyższego poziomu, które chronią Twoje dane za pomocą niestandardowej zewnętrznej usługi kluczy. Gdy utworzysz zewnętrzną usługę kluczy przy użyciu tego interfejsu API, administratorzy Google Workspace będą mogli połączyć się z nią i włączyć szyfrowanie po stronie klienta dla użytkowników.

Ważna terminologia

Poniżej znajdziesz listę typowych terminów używanych w interfejsie Google Workspace Client-side Encryption API:

Szyfrowanie po stronie klienta: Szyfrowanie obsługiwane w przeglądarce klienta przed zapisaniem ich w pamięci w chmurze. Chroni to przed odczytem pliku przez dostawcę pamięci masowej. Więcej informacji
Usługa listy kontroli dostępu do kluczy (KACLS): Zewnętrzna usługa kluczy, która używa tego interfejsu API do kontrolowania dostępu do kluczy szyfrowania przechowywanych w systemie zewnętrznym.
Dostawca tożsamości: Usługa, która uwierzytelnia użytkowników przed zaszyfrowaniem plików lub uzyskaniem dostępu do zaszyfrowanych plików.

Szyfrowanie i odszyfrowywanie

Klucz szyfrowania danych (DEK): Klucz używany przez Google Workspace w kliencie przeglądarki do szyfrowania samych danych.
Klucz szyfrowania kluczy (KEK): Klucz z Twojej usługi używany do szyfrowania klucza szyfrowania danych (DEK).

Kontrola dostępu

Lista kontroli dostępu (ACL): Lista użytkowników lub grup, które mogą otworzyć lub odczytać plik.
Token sieciowy JSON uwierzytelniania (JWT): Token okaziciela (JWT: RFC 7516) wydany przez partnera tożsamości w celu potwierdzenia tożsamości użytkownika.
Token internetowy JSON autoryzacji (JWT): Token okaziciela (JWT: RFC 7516) wydany przez Google w celu weryfikacji, czy element wywołujący jest upoważniony do szyfrowania lub odszyfrowywania zasobu.
Zestaw kluczy internetowych JSON (JWKS): URL punktu końcowego tylko do odczytu, który wskazuje listę kluczy publicznych używanych do weryfikowania tokenów sieciowych JSON (JWT).
Granica: Na potrzeby kontroli dostępu wykonaliśmy dodatkowe testy tokenów uwierzytelniania i autoryzacji w KACLS.

Proces szyfrowania po stronie klienta

Gdy administrator włączy szyfrowanie po stronie klienta w organizacji, użytkownicy, u których zostało ono włączone, będą mogli tworzyć zaszyfrowane dokumenty za pomocą narzędzi Google Workspace do wspólnego tworzenia treści, takich jak Dokumenty i Arkusze, lub szyfrować pliki przesyłane na Dysk Google, na przykład pliki PDF.

Gdy użytkownik zaszyfruje dokument lub plik:

Google Workspace generuje w przeglądarce klienta plik DEK w celu szyfrowania treści.
Google Workspace wysyła tokeny DEK i uwierzytelniania do KACLS innej firmy w celu szyfrowania, używając adresu URL podanego przez Ciebie administratorowi organizacji Google Workspace.
KACLS używa tego interfejsu API do szyfrowania DEK, a następnie wysyła zaciemniony, zaszyfrowany DEK z powrotem do Google Workspace.
Google Workspace przechowuje zaszyfrowane, zaciemnione dane w chmurze. Dostęp do tych danych mają tylko użytkownicy, którzy mają dostęp do Twoich list KACLS.

Więcej informacji znajdziesz w artykule Szyfrowanie i odszyfrowywanie plików.

Dalsze kroki

Dowiedz się, jak skonfigurować usługę.
Dowiedz się, jak szyfrować i odszyfrowywać dane.