สร้างบริการจัดการคีย์ที่กําหนดเองสําหรับการเข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนการใช้การเข้ารหัสที่ Google Workspace ให้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ใน เบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลในระบบคลาวด์ของไดรฟ์ ด้วยวิธีนี้ เซิร์ฟเวอร์ของ Google เข้าถึงคีย์การเข้ารหัสไม่ได้ ดังนั้นจึงถอดรหัสไม่ได้ ข้อมูลของคุณ ดูรายละเอียดเพิ่มเติมได้ที่ เกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณได้ ด้วยบริการจัดการคีย์ภายนอกที่กำหนดเอง หลังจากสร้างบริการจัดการคีย์ภายนอก ด้วย API นี้ ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อและเปิดใช้ CSE ได้ ให้แก่ผู้ใช้

คำศัพท์ที่สำคัญ

ด้านล่างนี้เป็นรายการคำศัพท์ทั่วไปที่ใช้ใน API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
การเข้ารหัสที่จัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนจัดเก็บไว้ ในระบบคลาวด์ การดำเนินการนี้ช่วยปกป้องไฟล์ไม่ให้อ่านโดยพื้นที่เก็บข้อมูล ดูข้อมูลเพิ่มเติม
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)
บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงการเข้ารหัส คีย์ที่เก็บไว้ในระบบภายนอก
ผู้ให้บริการข้อมูลประจำตัว (IdP)
บริการที่ตรวจสอบสิทธิ์ผู้ใช้ก่อนเข้ารหัสไฟล์หรือเข้าถึงไฟล์ ไฟล์ที่เข้ารหัส

การเข้ารหัสและ การถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)
คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์ของเบราว์เซอร์เพื่อเข้ารหัสข้อมูล เอง
คีย์การเข้ารหัสคีย์ (KEK)
คีย์จากบริการของคุณซึ่งใช้เพื่อเข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)
รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้
โทเค็นเว็บ JSON สำหรับการตรวจสอบสิทธิ์ (JWT)
โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
โทเค็นเว็บ JSON สำหรับการให้สิทธิ์ (JWT)
โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ออกโดย Google เพื่อยืนยันว่าผู้โทรได้รับอนุญาตให้เข้ารหัสหรือถอดรหัสทรัพยากร
ชุดคีย์เว็บ JSON (JWKS)
URL ปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้เพื่อยืนยัน JSON Web Token (JWT)
ขอบเขต
ดำเนินการตรวจสอบโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์เพิ่มเติม ภายใน KACLS สำหรับการควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE ให้กับองค์กรแล้ว ผู้ใช้ที่มี CSE ให้ "เปิดใช้งาน" สามารถเลือกที่จะสร้างเอกสารที่เข้ารหัสโดยใช้ Google Workspace เครื่องมือการสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ มีการอัปโหลดไปยัง Google ไดรฟ์ เช่น PDF

หลังจากผู้ใช้เข้ารหัสเอกสารหรือไฟล์แล้ว ให้ทำดังนี้

  1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ของไคลเอ็นต์เพื่อเข้ารหัส เนื้อหา

  2. Google Workspace จะส่ง DEK และโทเค็นการตรวจสอบสิทธิ์ไปยังบุคคลที่สาม KACLS สำหรับการเข้ารหัส โดยใช้ URL ที่คุณระบุไปยัง ผู้ดูแลระบบขององค์กร Google Workspace

  3. KACLS ของคุณใช้ API นี้เพื่อเข้ารหัส DEK แล้วส่งคำสั่งปรับให้ยากต่อการอ่าน (Obfuscate) เข้ารหัส DEK กลับไปยัง Google Workspace แล้ว

  4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสซึ่งปรับให้ยากต่อการอ่าน (Obfuscate) ไว้ในระบบคลาวด์ มีเพียงผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS ของคุณเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูลได้

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเข้ารหัสและถอดรหัสไฟล์

ขั้นตอนถัดไป