Crea un servizio chiavi personalizzato per la crittografia lato client

Puoi utilizzare le tue chiavi di crittografia per criptare i dati della tua organizzazione, anziché utilizzare la crittografia fornita da Google Workspace. Con la crittografia lato client di Google Workspace, la crittografia dei file viene gestita nel browser del client prima che vengano archiviati nello spazio di archiviazione basato su cloud di Drive. In questo modo, i server di Google non possono accedere alle tue chiavi di crittografia e, pertanto, non possono decriptare i tuoi dati. Per maggiori dettagli, vedi Informazioni sulla crittografia lato client.

Questa API ti consente di controllare le chiavi di crittografia di primo livello che proteggono i tuoi dati con un servizio chiavi esterno personalizzato. Dopo aver creato un servizio chiavi esterno con questa API, gli amministratori di Google Workspace possono connettersi e attivare la crittografia lato client per i loro utenti.

Terminologia importante

Di seguito è riportato un elenco di termini comuni utilizzati nell'API crittografia lato client di Google Workspace:

Crittografia lato client

Crittografia gestita nel browser del client prima di essere archiviata nello spazio di archiviazione basato su cloud. In questo modo, il file non può essere letto dal provider di spazio di archiviazione. Scopri di più

Key Access Control List Service (KACLS)

Il tuo servizio chiavi esterno che utilizza questa API per controllare l'accesso alle chiavi di crittografia archiviate in un sistema esterno.

Provider di identità (IdP)

Il servizio che autentica gli utenti prima che possano criptare file o accedere a file criptati.

Crittografia e decrittografia

Chiave di crittografia dei dati (DEK)

La chiave utilizzata da Google Workspace nel client browser per criptare i dati.

Chiave di crittografia della chiave (KEK)

Una chiave del tuo servizio utilizzata per criptare una chiave di crittografia dei dati (DEK).

Controllo degli accessi

Elenco di controllo dell'accesso (ACL)

Un elenco di utenti o gruppi che possono aprire o leggere un file.

Token web JSON (JWT) di autenticazione

Token di autenticazione (JWT: RFC 7516) emesso dal partner di identità (IdP) per attestare l'identità di un utente.

JSON Web Token (JWT) di autorizzazione

Token di autenticazione (JWT: RFC 7516) emesso da Google per verificare che il chiamante sia autorizzato a criptare o decriptare una risorsa.

Set di chiavi web JSON (JWKS)

Un URL endpoint di sola lettura che rimanda a un elenco di chiavi pubbliche utilizzate per verificare i token web JSON (JWT).

Perimetro

Controlli aggiuntivi eseguiti sui token di autenticazione e autorizzazione all'interno di KACLS per il controllo dell'accesso.

Procedura di crittografia lato client

Dopo che un amministratore ha attivato la crittografia lato client per la propria organizzazione, gli utenti per i quali è attiva possono scegliere di creare documenti criptati utilizzando gli strumenti di creazione di contenuti collaborativi di Google Workspace, come Documenti e Fogli, o criptare i file caricati su Google Drive, ad esempio i PDF.

Dopo che l'utente ha criptato un documento o un file:

1. Google Workspace genera una DEK nel browser client per criptare i contenuti.

2. Google Workspace invia la DEK e i token di autenticazione al tuo KACLS di terze parti per la crittografia, utilizzando un URL che fornisci all'amministratore dell'organizzazione Google Workspace.

3. Il tuo KACLS utilizza questa API per criptare la DEK, quindi invia la DEK offuscata e criptata a Google Workspace.

4. Google Workspace archivia i dati offuscati e criptati nel cloud. Solo gli utenti con accesso ai tuoi KACLS possono accedere ai dati.

Per maggiori dettagli, vedi Criptare e decriptare i file.

Passaggi successivi

• Scopri come configurare il tuo servizio.
• Scopri come criptare e decriptare i dati.