Mem-build layanan kunci enkripsi kustom untuk enkripsi sisi klien

Anda dapat menggunakan kunci enkripsi Anda sendiri untuk mengenkripsi data organisasi, bukan menggunakan enkripsi yang disediakan Google Workspace. Dengan Enkripsi Sisi Klien (CSE) Google Workspace, enkripsi file ditangani di browser klien sebelum disimpan di penyimpanan berbasis cloud Drive. Dengan demikian, server Google tidak dapat mengakses kunci enkripsi Anda dan, oleh karena itu, tidak dapat mendekripsi data Anda. Untuk mengetahui detail selengkapnya, lihat Tentang enkripsi sisi klien.

Dengan API ini, Anda dapat mengontrol kunci enkripsi tingkat atas yang melindungi data Anda dengan layanan kunci eksternal kustom. Setelah Anda membuat layanan kunci eksternal dengan API ini, administrator Google Workspace dapat terhubung ke layanan tersebut dan mengaktifkan CSE untuk pengguna mereka.

Terminologi penting

Berikut adalah daftar istilah umum yang digunakan dalam API Enkripsi Sisi Klien Google Workspace:

Enkripsi sisi klien (CSE)

Enkripsi yang ditangani di browser klien sebelum disimpan di penyimpanan berbasis cloud. Tindakan ini melindungi file agar tidak dibaca oleh penyedia penyimpanan. Pelajari lebih lanjut

Key Access Control List Service (KACLS)

Layanan kunci eksternal Anda yang menggunakan API ini untuk mengontrol akses ke kunci enkripsi yang disimpan dalam sistem eksternal.

Penyedia Identitas (IdP)

Layanan yang mengautentikasi pengguna sebelum mereka dapat mengenkripsi file atau mengakses file terenkripsi.

Enkripsi & dekripsi

Kunci Enkripsi Data (DEK)

Kunci yang digunakan oleh Google Workspace di klien browser untuk mengenkripsi data itu sendiri.

Kunci Enkripsi Kunci (KEK)

Kunci dari layanan Anda yang digunakan untuk mengenkripsi Kunci Enkripsi Data (DEK).

Kontrol akses

Daftar Kontrol Akses (ACL)

Daftar pengguna atau grup yang dapat membuka atau membaca file.

Token Web JSON (JWT) Autentikasi

Token pemilik (JWT: RFC 7516) yang dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.

Token Web JSON (JWT) Otorisasi

Token pembawa (JWT: RFC 7516) yang dikeluarkan oleh Google untuk memverifikasi bahwa pemanggil diizinkan untuk mengenkripsi atau mendekripsi resource.

JSON Web Key Set (JWKS)

URL endpoint hanya baca yang mengarah ke daftar kunci publik yang digunakan untuk memverifikasi Token Web JSON (JWT).

Perimeter

Pemeriksaan tambahan yang dilakukan pada token autentikasi dan otorisasi dalam KACLS untuk kontrol akses.

Proses enkripsi sisi klien

Setelah administrator mengaktifkan CSE untuk organisasi mereka, pengguna yang CSE-nya diaktifkan dapat memilih untuk membuat dokumen terenkripsi menggunakan alat pembuatan konten kolaboratif Google Workspace, seperti Dokumen dan Spreadsheet, atau mengenkripsi file yang mereka upload ke Google Drive, seperti PDF.

Setelah pengguna mengenkripsi dokumen atau file:

1. Google Workspace membuat DEK di browser klien untuk mengenkripsi konten.

2. Google Workspace mengirimkan DEK dan token autentikasi ke KACLS pihak ketiga Anda untuk dienkripsi, menggunakan URL yang Anda berikan kepada administrator organisasi Google Workspace.

3. KACLS Anda menggunakan API ini untuk mengenkripsi DEK, lalu mengirimkan DEK yang dienkripsi dan di-obfuscate kembali ke Google Workspace.

4. Google Workspace menyimpan data yang dienkripsi dan di-obfuscate di cloud. Hanya pengguna yang memiliki akses ke KACLS Anda yang dapat mengakses data.

Untuk mengetahui detail selengkapnya, lihat Mengenkripsi dan mendekripsi file.

Langkah berikutnya

• Pelajari cara mengonfigurasi layanan Anda.
• Pelajari cara mengenkripsi & mendekripsi data.