자체 암호화 키를 사용하여 조직의 데이터를 암호화할 수 있습니다. Google Workspace에서 제공하는 암호화를 사용하는 대신 Google Workspace 클라이언트 측 암호화 (CSE)를 사용하면 해야 합니다. 이렇게 하면 Google 서버에서 암호화 키에 액세스할 수 없으므로 복호화할 수 없습니다. 제공합니다. 자세한 내용은 클라이언트 측 암호화에 대한 정보
이 API를 사용하면 데이터를 보호하는 최상위 암호화 키를 관리할 수 있습니다. 키를 사용하는 것이 좋습니다 외부 키 관리 서비스를 만든 후 Google Workspace 관리자는 이 API를 사용하여 CSE에 연결하고 CSE를 사용 설정할 수 있습니다. 하고 있습니다.
중요한 용어
다음은 Google Workspace 클라이언트 측 암호화 API에서 사용되는 일반적인 용어 목록입니다.
- 클라이언트 측 암호화 (CSE)
- 저장되기 전에 클라이언트의 브라우저에서 처리되는 암호화입니다. 사용할 수 있습니다 이렇게 하면 저장소에서 파일을 읽을 수 없습니다. 제공업체 자세히 알아보기
- 키 액세스 제어 목록 서비스 (KACLS)
- 이 API를 사용하여 암호화에 대한 액세스를 제어하는 외부 키 관리 서비스입니다. 외부 시스템에 저장된 키를 암호화합니다
- ID 공급업체 (IdP)
- 파일을 암호화하거나 액세스하기 전에 사용자를 인증하는 서비스입니다. 않습니다.
암호화 및 복호화
- 데이터 암호화 키 (DEK)
- 데이터를 암호화하기 위해 브라우저 클라이언트에서 Google Workspace가 사용하는 키입니다. 있습니다
- 키 암호화 키 (KEK)
- 데이터 암호화 키 (DEK)를 암호화하는 데 사용되는 서비스의 키입니다.
액세스 제어
- 액세스제어 목록 (ACL)
- 파일을 열거나 읽을 수 있는 사용자 또는 그룹 목록
- 인증 JSON 웹 토큰 (JWT)
- Bearer 토큰 (JWT: RFC 7516) 사용자 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급하는 비밀번호입니다.
- 승인 JSON 웹 토큰 (JWT)
- Bearer 토큰 (JWT: RFC 7516) 호출자가 리소스를 암호화 또는 복호화할 권한이 있는지 확인합니다.
- JSON 웹 키 세트 (JWKS)
- 확인에 사용되는 공개 키 목록을 가리키는 읽기 전용 엔드포인트 URL입니다. JSON 웹 토큰 (JWT).
- 경계
- 인증 및 승인 토큰에 대한 추가 검사 KACLS 내에서 액세스 제어를 사용하는 것이 좋습니다
클라이언트 측 암호화 프로세스
관리자가 조직에 CSE를 사용 설정하면 CSE가 적용되는 사용자 Google Workspace를 사용하여 암호화된 문서를 만들 수 있습니다 Docs, Sheets 등 공동 콘텐츠 제작 도구 또는 파일 암호화 Google Drive에 업로드하는 것입니다.
사용자가 문서 또는 파일을 암호화한 후:
Google Workspace는 클라이언트 브라우저에서 DEK를 생성하여 있습니다.
Google Workspace에서 DEK 및 인증 토큰을 서드 파티에 전송 KACLS에서 암호화합니다. Google Workspace 조직의 관리자
KACLS는 이 API를 사용하여 DEK를 암호화한 다음 DEK를 암호화하여 Google Workspace로 다시 보냅니다.
Google Workspace는 난독화되고 암호화된 데이터를 클라우드에 저장합니다. KACLS에 액세스할 수 있는 사용자만 데이터에 액세스할 수 있습니다.
자세한 내용은 파일 암호화 및 복호화를 참고하세요.
다음 단계
- 서비스 구성 방법 알아보기
- 암호화 및 데이터를 복호화합니다.