建構用於用戶端加密的自訂金鑰服務

您可以使用自己的加密金鑰來加密貴機構的資料,而非使用 Google Workspace 提供的加密。如果使用 Google Workspace 用戶端加密 (CSE) 功能,檔案加密會先在用戶端的瀏覽器中處理,然後才會儲存至雲端硬碟的雲端式儲存空間。這麼一來,Google 伺服器就無法存取您的加密金鑰,因此無法解密資料。詳情請參閱「關於用戶端加密」。

此 API 可讓您控制使用自訂外部金鑰服務保護資料的頂層加密金鑰。使用這個 API 建立外部金鑰服務後,Google Workspace 管理員可以連線至該服務,並為使用者啟用 CSE。

重要術語

以下是 Google Workspace Client-side Encryption API 的常見用語:

用戶端加密 (CSE) 功能
將資料儲存至雲端式儲存空間之前,在用戶端瀏覽器中處理的加密作業。這可以防止儲存空間供應商讀取檔案。瞭解詳情
金鑰存取控制清單 (KACLS)
使用這個 API 的外部金鑰服務,用於控管儲存在外部系統中的加密金鑰的存取權。
識別資訊提供者 (IdP)
在使用者加密檔案或存取加密檔案的前,進行驗證的服務。

加密與解密

資料加密金鑰 (DEK)
Google Workspace 在瀏覽器用戶端上用來自行加密資料的金鑰。
金鑰加密金鑰 (KEK)
服務中的金鑰,用於加密資料加密金鑰 (DEK)。

存取權控管

存取控制清單 (ACL)
可開啟或讀取檔案的使用者或群組清單。
驗證 JSON Web Token (JWT)
識別資訊提供者 (IdP) 核發的暫時權杖 (JWT:RFC 7516),用於認證使用者的身分。
授權 JSON Web Token (JWT)
Google 核發的暫時權杖 (JWT:RFC 7516),用於驗證呼叫端是否有權加密或解密資源。
JSON Web Key Set (JWKS)
唯讀端點網址,指向用於驗證 JSON Web Token (JWT) 的公開金鑰清單。
週長
針對存取權控管,KACLS 中的驗證和授權權杖執行的其他檢查。

用戶端加密程序

管理員為機構啟用 CSE 後,已啟用 CSE 的使用者可以選擇使用 Google Workspace 協作內容建立工具 (例如文件和試算表) 建立加密文件,或是為上傳至 Google 雲端硬碟的檔案 (例如 PDF) 加密。

使用者加密文件或檔案後:

  1. Google Workspace 在用戶端瀏覽器中產生 DEK 以加密內容。

  2. Google Workspace 會使用您提供給 Google Workspace 機構管理員的網址,將 DEK 和驗證權杖傳送至第三方 KACLS 進行加密。

  3. KACLS 會使用這個 API 加密 DEK,然後將經過模糊化處理的加密 DEK 傳回 Google Workspace。

  4. Google Workspace 會將經過模糊處理的加密資料儲存在雲端。只有具備 KACLS 存取權的使用者才能存取資料。

詳情請參閱加密及解密檔案

後續步驟