您可以使用自己的加密密钥来加密贵组织的数据,而不是使用 Google Workspace 提供的加密密钥。使用 Google Workspace 客户端加密功能 (CSE) 时,系统会在客户端的浏览器中处理文件加密,然后再将文件存储到 Google 云端硬盘的云存储空间。这样一来,Google 服务器便无法访问您的加密密钥,因此也无法解密您的数据。如需了解详情,请参阅客户端 加密功能简介。
借助此 API,您可以使用自定义的外部密钥服务来控制可保护数据的顶级加密密钥。使用此 API 创建外部密钥服务后,Google Workspace 管理员可以连接到该服务,并为用户启用 CSE。
重要术语
以下是 Google Workspace 客户端加密功能 API 中使用的常见术语列表:
- 客户端加密功能 (CSE)
- 系统在将数据存储到云存储空间之前,会在客户端的浏览器中处理加密。这样可以保护文件,防止存储服务提供商读取文件。了解详情
- 密钥访问控制列表服务 (KACLS)
- 您的外部密钥服务,使用此 API 来控制对存储在外部系统中的加密密钥的访问权限。
- 身份提供商 (IdP)
- 此服务用于验证用户身份,然后用户才能对文件进行加密或访问已加密的文件。
加密和解密
- 数据加密密钥 (DEK)
- Google Workspace 在浏览器客户端中用于加密数据本身的密钥。
- 密钥加密密钥 (KEK)
- 您的服务中用于加密数据加密密钥 (DEK) 的密钥。
访问权限控制
- 访问控制列表 (ACL)
- 可以打开或读取文件的用户或群组列表。
- 身份验证 JSON Web 令牌 (JWT)
- 由身份提供方 (IdP) 颁发的不记名令牌 (JWT:RFC 7519),用于证明用户身份。
- 授权 JSON Web 令牌 (JWT)
- 由 Google 颁发的不记名令牌 (JWT:RFC 7519),用于验证调用者是否已获授权来加密或解密 资源。
- JSON Web 密钥集 (JWKS)
- 指向用于验证 JSON Web 令牌 (JWT) 的公钥列表的只读端点网址。
- 边界
- 在 KACLS 中对身份验证和授权令牌执行的其他检查,用于访问权限控制。
客户端加密功能流程
管理员为其组织启用客户端加密功能后,已启用客户端加密功能的用户可以选择使用 Google Workspace 协作创建内容工具(例如文档和表格)创建已加密文档,或对其上传到云端硬盘的文件(例如 PDF)进行加密。
用户加密文档或文件后:
Google Workspace 会在客户端浏览器中生成 DEK,以加密内容。
Google Workspace 会使用您提供给 Google Workspace 组织管理员的网址,将 DEK 和身份验证令牌发送到您的第三方 KACLS 进行加密。
您的 KACLS 会使用此 API 加密 DEK,然后将混淆的加密 DEK 发送回 Google Workspace。
Google Workspace 会将混淆的加密数据存储在云端。 只有有权访问您的 KACLS 的用户才能访问这些数据。
如需了解详情,请参阅加密和解密 文件。