Do szyfrowania danych organizacji możesz używać własnych kluczy szyfrowania zamiast szyfrowania udostępnianego przez Google Workspace. W ramach szyfrowania po stronie klienta w Google Workspace szyfrowanie plików odbywa się w przeglądarce klienta, zanim zostaną one zapisane w chmurze Dysku. Dzięki temu serwery Google nie mogą uzyskać dostępu do Twoich kluczy szyfrowania i odszyfrować Twoich danych. Więcej informacji znajdziesz w artykule Informacje o szyfrowaniu po stronie klienta.
Ten interfejs API umożliwia sterowanie kluczami szyfrowania najwyższego poziomu, które chronią Twoje dane, za pomocą niestandardowej zewnętrznej usługi kluczy. Po utworzeniu zewnętrznej usługi kluczy za pomocą tego interfejsu API administratorzy Google Workspace mogą się z nią połączyć i włączyć szyfrowanie po stronie klienta dla swoich użytkowników.
Ważna terminologia
Poniżej znajdziesz listę typowych terminów używanych w interfejsie Google Workspace Client-side Encryption API:
- Szyfrowanie po stronie klienta
- Szyfrowanie odbywa się w przeglądarce klienta, zanim dane zostaną zapisane w chmurze. Pozwala to chronić plik przed odczytaniem przez dostawcę pamięci masowej. Więcej informacji
- Usługa klucza kontroli dostępu (KACLS)
- Zewnętrzna usługa kluczy, która korzysta z tego interfejsu API do kontrolowania dostępu do kluczy szyfrujących przechowywanych w zewnętrznym systemie.
- Dostawca tożsamości
- Usługa, która uwierzytelnia użytkowników, zanim zaszyfrują pliki lub uzyskają dostęp do zaszyfrowanych plików.
Szyfrowanie i odszyfrowywanie
- Klucz szyfrujący dane (DEK)
- Klucz używany przez Google Workspace w kliencie przeglądarki do szyfrowania danych.
- Klucz szyfrowania klucza (KEK)
- Klucz z Twojej usługi używany do szyfrowania klucza szyfrującego dane (DEK).
Kontrola dostępu
- Lista kontroli dostępu (ACL)
- Lista użytkowników lub grup, którzy mogą otworzyć lub odczytać plik.
- Token internetowy JSON (JWT) do uwierzytelniania
- Token tożsamości (JWT: RFC 7516) wystawiony przez dostawcę tożsamości (IdP) w celu potwierdzenia tożsamości użytkownika.
- Token internetowy JSON (JWT) autoryzacji
- Identyfikator tożsamości (JWT: RFC 7516) wydawany przez Google w celu potwierdzenia, że wywołujący ma uprawnienia do szyfrowania lub odszyfrowywania zasobu.
- Zestaw kluczy internetowych JSON (JWKS)
- URL punktu końcowego tylko do odczytu, który wskazuje na listę kluczy publicznych służących do weryfikacji tokenów sieciowych JSON (JWT).
- Granica
- Dodatkowe sprawdzanie tokenów uwierzytelniania i autoryzacji w ramach KACLS na potrzeby kontroli dostępu.
Proces szyfrowania po stronie klienta
Gdy administrator włączy szyfrowanie po stronie klienta w organizacji, użytkownicy, dla których jest ono włączone, mogą tworzyć zaszyfrowane dokumenty za pomocą narzędzi do tworzenia treści w Google Workspace, takich jak Dokumenty czy Arkusze, lub szyfrować pliki, które przesyłają na Dysk Google, takie jak pliki PDF.
Gdy użytkownik zaszyfruje dokument lub plik:
Google Workspace generuje klucz DEK w przeglądarce klienta, aby zaszyfrować treści.
Google Workspace wysyła klucze szyfrowania i tokeny uwierzytelniania do zewnętrznego dostawcy usług kluczy szyfrowania (KACLS) za pomocą adresu URL podanego przez administratora organizacji Google Workspace.
Twoja usługa KACLS używa tego interfejsu API do szyfrowania klucza szyfrującego dane, a następnie wysyła zaszyfrowany klucz szyfrujący dane z powrotem do Google Workspace.
Google Workspace przechowuje zaszyfrowane dane w chmurze. Dostęp do tych danych mają tylko użytkownicy, którzy mają dostęp do Twoich kluczy KACLS.
Więcej informacji znajdziesz w artykule Szyfrowanie i odszyfrowywanie plików.
Dalsze kroki
- Dowiedz się, jak skonfigurować usługę.
- Dowiedz się, jak szyfrować i odszyfrowywać dane.