Bạn có thể sử dụng khoá mã hoá của riêng mình để mã hoá dữ liệu của tổ chức, thay vì dùng phương thức mã hoá mà Google Workspace cung cấp. Với tính năng Mã hoá phía máy khách (CSE) của Google Workspace, quá trình mã hoá tệp được xử lý trong trình duyệt của ứng dụng khách trước khi tệp được lưu trữ trong bộ nhớ trên đám mây của Drive. Bằng cách đó, Các máy chủ của Google không thể truy cập vào khoá mã hoá của bạn nên không thể giải mã dữ liệu của bạn. Để biết thêm thông tin, hãy xem Giới thiệu về tính năng mã hoá phía máy khách.
API này cho phép bạn kiểm soát các khoá mã hoá cấp cao nhất giúp bảo vệ dữ liệu của bạn bằng dịch vụ mã khoá bên ngoài tuỳ chỉnh. Sau khi bạn tạo dịch vụ mã khoá bên ngoài bằng API này, quản trị viên Google Workspace có thể kết nối với API này và bật tính năng CSE cho người dùng của họ.
Thuật ngữ quan trọng
Dưới đây là danh sách các thuật ngữ phổ biến trong API Mã hoá phía máy khách của Google Workspace:
- Tính năng mã hoá phía máy khách (CSE)
- Mã hoá được xử lý trong trình duyệt của ứng dụng trước khi được lưu trữ trong bộ nhớ trên đám mây. Thao tác này giúp bộ nhớ không đọc được tệp Google Cloud. Tìm hiểu thêm
- Dịch vụ danh sách kiểm soát quyền truy cập chính (KACLS)
- Dịch vụ khóa bên ngoài sử dụng API này để kiểm soát quyền truy cập vào tính năng mã hoá khoá được lưu trữ trong hệ thống bên ngoài.
- Nhà cung cấp danh tính (IdP)
- Dịch vụ xác thực người dùng trước khi người dùng có thể mã hoá tệp hoặc truy cập tệp mã hóa.
Mã hoá và giải mã
- Khoá mã hoá dữ liệu (DEK)
- Khoá mà Google Workspace sử dụng trong ứng dụng của trình duyệt để mã hoá dữ liệu .
- Khoá mã hoá khoá (KEK)
- Khoá trong dịch vụ của bạn dùng để mã hoá Khoá mã hoá dữ liệu (DEK).
Kiểm soát ra vào
- Danh sách kiểm soát quyền truy cập (ACL)
- Danh sách người dùng hoặc nhóm có thể mở hoặc đọc tệp.
- Mã thông báo web JSON xác thực (JWT)
- Mã thông báo mang (JWT: RFC 7516) do đối tác danh tính (IdP) cấp để chứng thực danh tính của người dùng.
- Mã thông báo web JSON cấp phép (JWT)
- Mã thông báo mang (JWT: RFC 7516) do Google cấp để xác minh rằng phương thức gọi được uỷ quyền để mã hoá hoặc giải mã một tài nguyên.
- Bộ khoá web JSON (JWKS)
- URL điểm cuối chỉ đọc trỏ đến danh sách các khoá công khai dùng để xác minh Mã thông báo web JSON (JWT).
- Chu vi
- Đã kiểm tra thêm đối với mã thông báo xác thực và uỷ quyền trong KACLS dùng để kiểm soát ra vào.
Quy trình mã hoá phía máy khách
Sau khi quản trị viên bật tính năng CSE cho tổ chức của họ, những người dùng có tính năng CSE bật có thể chọn tạo tài liệu đã mã hoá bằng Google Workspace công cụ tạo nội dung cộng tác (như Tài liệu và Trang tính) hoặc mã hoá tệp chúng tải lên Google Drive, chẳng hạn như PDF.
Sau khi người dùng mã hoá tài liệu hoặc tệp:
Google Workspace tạo một DEK trong trình duyệt máy khách để mã hoá nội dung.
Google Workspace gửi DEK và mã thông báo xác thực cho bên thứ ba của bạn KACLS để mã hoá, bằng cách sử dụng URL mà bạn cung cấp cho Quản trị viên của tổ chức Google Workspace.
KACLS của bạn sử dụng API này để mã hoá DEK, sau đó gửi mã đã làm rối mã nguồn, đã mã hoá DEK trở lại Google Workspace.
Google Workspace lưu trữ dữ liệu đã được mã hoá và đã làm rối mã nguồn trên đám mây. Chỉ những người dùng có quyền truy cập vào KACLS mới có thể truy cập vào dữ liệu này.
Để biết thêm thông tin, hãy xem bài viết Mã hoá và giải mã tệp.
Các bước tiếp theo
- Tìm hiểu cách định cấu hình dịch vụ.
- Tìm hiểu cách mã hoá và giải mã dữ liệu.