تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إنشاء خدمة إدارة مفاتيح تشفير مخصَّصة لميزة "التشفير من جهة العميل"

يمكنك استخدام مفاتيح التشفير الخاصة بك لتشفير بيانات مؤسستك، بدلاً من استخدام التشفير الذي توفّره Google Workspace. باستخدام ميزة "التشفير من جهة العميل" في Google Workspace، يتم التعامل مع تشفير الملفات في browser العميل قبل تخزينها في مساحة التخزين المستندة إلى السحابة الإلكترونية في Drive. وبهذه الطريقة، لا يمكن لخوادم Google الوصول إلى مفاتيح التشفير، وبالتالي لا يمكنها فك تشفير بياناتك. لمزيد من التفاصيل، يُرجى الاطّلاع على مقالة لمحة عن ميزة "التشفير من جهة العميل".

تتيح لك واجهة برمجة التطبيقات هذه التحكّم في مفاتيح التشفير ذات المستوى الأعلى التي تحمي بياناتك باستخدام خدمة إدارة مفاتيح تشفير خارجية مخصّصة. بعد إنشاء خدمة إدارة مفاتيح تشفير خارجية باستخدام واجهة برمجة التطبيقات هذه، يمكن لمشرفي Google Workspace الربط بها وتفعيل ميزة "التشفير من جهة العميل" لمستخدميهم.

المصطلحات المهمة

في ما يلي قائمة بالمصطلحات الشائعة المستخدَمة في Google Workspace Client-side Encryption API:

التشفير من جهة العميل (CSE): التشفير الذي يتم التعامل معه في متصفّح العميل قبل تخزينه في مساحة التخزين المستندة إلى السحابة الإلكترونية ويؤدي ذلك إلى حماية الملف من قراءته من قِبل مقدّم مساحة التخزين. مزيد من المعلومات
خدمة قائمة التحكّم في الوصول إلى المفاتيح (KACLS): خدمة إدارة مفاتيح التشفير الخارجية التي تستخدِم واجهة برمجة التطبيقات هذه للتحكّم في الوصول إلى مفاتيح التشفير المخزّنة في نظام خارجي:
موفِّر الهوية (IdP): الخدمة التي تُجري مصادقة المستخدمين قبل أن يتمكّنوا من تشفير الملفات أو الوصول إلى الملفات المشفَّرة.

التشفير وفك التشفير

مفتاح تشفير البيانات (DEK): المفتاح الذي تستخدمه Google Workspace في متصفّح العميل لتشفير البيانات نفسها:
مفتاح تشفير المفتاح (KEK): مفتاح من خدمتك يُستخدَم لتشفير مفتاح تشفير البيانات (DEK).

التحكم في الدخول

قائمة التحكّم بالوصول (ACL): قائمة بالمستخدمين أو المجموعات التي يمكنها فتح ملف أو قراءته
رمز JSON المميّز للويب (JWT) للمصادقة: رمز المرور (JWT: RFC 7516) الذي يُصدره شريك الهوية (IdP) لإثبات هوية المستخدم
رمز JSON المميّز للويب (JWT) الخاص بالتفويض: الرمز المميّز لحامل الرسالة (JWT: RFC 7516) الذي تصدره Google للتحقّق من أنّ المُتصل مفوَّض بتشفير مورد أو فك تشفيره
مجموعة مفاتيح الويب بتنسيق JSON (JWKS): عنوان URL لنقطة نهاية للقراءة فقط يشير إلى قائمة بالمفاتيح العامة المستخدَمة للتحقّق من رموز JSON المميّزة للويب (JWT).
المحيط: عمليات تحقّق إضافية يتم إجراؤها على رمزَي المصادقة والترخيص ضمن KACLS للتحكّم في الوصول

عملية "التشفير من جهة العميل"

بعد أن يفعّل المشرف ميزة "التشفير من جهة العميل" لمؤسسته، يمكن للمستخدمين الذين تم تفعيل الميزة لهم إنشاء مستندات مشفَّرة باستخدام أدوات إنشاء المحتوى المشترَك في Google Workspace، مثل "مستندات Google" و"جداول بيانات Google"، أو تشفير الملفات التي يحمِّلونها إلى Google Drive، مثل ملفات PDF.

بعد أن يشفِّر المستخدم مستندًا أو ملفًا:

تُنشئ Google Workspace مفتاح تشفير الجلسة في متصفّح العميل لتشفير المحتوى.
تُرسِل Google Workspace مفتاح التشفير المُعدَّل (DEK) ورموز المصادقة إلى مكتب إدارة مفاتيح التشفير (KACLS) التابع لجهة خارجية لإجراء التشفير، وذلك باستخدام عنوان URL تقدّمه إلى مشرف مؤسسة Google Workspace.
يستخدم KACLS واجهة برمجة التطبيقات هذه لتشفير مفتاح تشفير البيانات، ثم يُرسِل مفتاح تشفير البيانات المشفَّر والمموَّه مرة أخرى إلى Google Workspace.
تخزِّن Google Workspace البيانات المشفّرة والمشوّشة في السحابة الإلكترونية. ولا يمكن للمستخدمين الوصول إلى البيانات إلا إذا كان لديهم إذن الوصول إلى شهادات KACLS.

لمعرفة مزيد من التفاصيل، يُرجى الاطّلاع على مقالة تشفير الملفات وفك تشفيرها.

الخطوات التالية

تعرَّف على كيفية ضبط الخدمة.
تعرَّف على كيفية تشفير البيانات وفك تشفيرها.