Compila un servicio de claves personalizado para la encriptación del cliente
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.
Puedes usar tus propias claves de encriptación para encriptar los datos de tu organización, en lugar de usar la encriptación que proporciona Google Workspace. Con la encriptación del cliente (CSE) de Google Workspace, la encriptación de archivos se controla en el navegador del cliente antes de que se almacenen en el almacenamiento basado en la nube de Drive. De esa manera, los servidores de Google no pueden acceder a tus claves de encriptación y, por lo tanto, no pueden desencriptar tus datos. Para obtener más detalles, consulta Acerca de la encriptación del cliente.
Esta API te permite controlar las claves de encriptación de nivel superior que protegen tus datos con un servicio de claves externo personalizado. Después de crear un servicio de claves externo con esta API, los administradores de Google Workspace pueden conectarse a él y habilitar la CSE para sus usuarios.
Terminología importante
A continuación, se incluye una lista de términos comunes que se usan en la API de Client-side Encryption de Google Workspace:
Encriptación del cliente (CSE)
Encriptación que se controla en el navegador del cliente antes de que se almacene en el almacenamiento basado en la nube. Esto protege el archivo para que el proveedor de almacenamiento no lo pueda leer. Más información
Servicio de lista de control de acceso a las claves (KACLS)
Tu servicio de claves externo que usa esta API para controlar el acceso a las claves de encriptación almacenadas en un sistema externo.
Proveedor de identidad (IdP)
Es el servicio que autentica a los usuarios antes de que puedan encriptar archivos o acceder a archivos encriptados.
Encriptación y desencriptación
Clave de encriptación de datos (DEK)
Es la clave que usa Google Workspace en el cliente del navegador para encriptar los datos.
Clave de encriptación de claves (KEK)
Es una clave de tu servicio que se usa para encriptar una clave de encriptación de datos (DEK).
Control de acceso
Lista de control de acceso (LCA)
Es una lista de usuarios o grupos que pueden abrir o leer un archivo.
Token web JSON (JWT) de autenticación
Token del portador (JWT: RFC 7516) emitido por el socio de identidad (IdP) para confirmar la identidad de un usuario.
Token web JSON (JWT) de autorización
Token de portador (JWT: RFC 7516) emitido por Google para verificar que el llamador está autorizado a encriptar o desencriptar un recurso.
Conjunto de claves web JSON (JWKS)
Es la URL de un extremo de solo lectura que apunta a una lista de claves públicas que se usan para verificar tokens web JSON (JWT).
Perímetro
Se realizan verificaciones adicionales en los tokens de autenticación y autorización dentro del KACLS para el control de acceso.
Proceso de encriptación del cliente
Después de que un administrador habilita la CSE para su organización, los usuarios para los que se habilitó la CSE pueden optar por crear documentos encriptados con las herramientas de creación de contenido colaborativo de Google Workspace, como Documentos y Hojas de cálculo, o encriptar los archivos que suban a Google Drive, como los PDF.
Después de que el usuario encripta un documento o archivo, sucede lo siguiente:
Google Workspace genera una DEK en el navegador del cliente para encriptar el contenido.
Google Workspace envía la DEK y los tokens de autenticación a tu KACLS de terceros para la encriptación, a través de una URL que proporcionas al administrador de la organización de Google Workspace.
Tu KACLS usa esta API para encriptar la DEK y, luego, envía la DEK ofuscada y encriptada de vuelta a Google Workspace.
Google Workspace almacena los datos ofuscados y encriptados en la nube. Solo los usuarios con acceso a tu KACLS pueden acceder a los datos.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Falta la información que necesito","missingTheInformationINeed","thumb-down"],["Muy complicado o demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Desactualizado","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema con las muestras o los códigos","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-04 (UTC)"],[[["\u003cp\u003eGoogle Workspace Client-side Encryption (CSE) allows you to encrypt your organization's data with your own keys, preventing Google servers from accessing or decrypting it.\u003c/p\u003e\n"],["\u003cp\u003eThis API enables you to manage the encryption keys via an external key service, giving you control over data access.\u003c/p\u003e\n"],["\u003cp\u003eCSE encrypts files in the user's browser before they are stored in Google Drive, ensuring only authorized users with access to your external key service can decrypt them.\u003c/p\u003e\n"],["\u003cp\u003eWhen a file is encrypted, Google Workspace generates a Data Encryption Key (DEK), which is then encrypted by your external key service and stored with the encrypted data.\u003c/p\u003e\n"],["\u003cp\u003eTo get started, you can configure your external key service and learn how to encrypt and decrypt data using the provided guides.\u003c/p\u003e\n"]]],["Google Workspace Client-side Encryption (CSE) allows users to encrypt data in their browser before cloud storage. This is achieved by using your own external Key Access Control List Service (KACLS). Google Workspace generates a Data Encryption Key (DEK) and sends it to your KACLS for encryption with a Key Encryption Key (KEK). Your service then returns the encrypted DEK to Google Workspace. This ensures that only users with KACLS access can decrypt the stored data.\n"],null,["# Build a custom key service for client-side encryption\n\nYou can use your own encryption keys to encrypt your organization's data,\ninstead of using the encryption that Google Workspace provides. With Google Workspace Client-side Encryption (CSE), file encryption is handled in the\nclient's browser before it's stored in Drive's cloud-based storage. That way,\nGoogle servers can't access your encryption keys and, therefore, can't decrypt\nyour data. For more details, see\n[About client-side encryption](https://support.google.com/a/answer/10741897#zippy=%2Cbasic-setup-steps-for-cse).\n\nThis API lets you control the top-level encryption keys that protect your data\nwith a custom external key service. After you create an external key service\nwith this API, Google Workspace administrators can connect to it and enable CSE\nfor their users.\n\nImportant terminology\n---------------------\n\nBelow is a list of common terms used in the Google Workspace Client-side Encryption API:\n\n*Client-side encryption (CSE)*\n: Encryption that's handled in the client's browser before it's stored in\n cloud-based storage. This protects the file from being read by the storage\n provider. [Learn more](https://support.google.com/a/answer/10741897#zippy=%2Chow-is-cse-different-from-end-to-end-ee-encryption)\n\n*Key Access Control List Service (KACLS)*\n: Your external key service that uses this API to control access to encryption\n keys stored in an external system.\n\n*Identity Provider (IdP)*\n: The service that authenticates users before they can encrypt files or access\n encrypted files.\n\n### Encryption \\& decryption\n\n*Data Encryption Key (DEK)*\n: The key used by Google Workspace in the browser client to encrypt the data\n itself.\n\n*Key Encryption Key (KEK)*\n: A key from your service used to encrypt a Data Encryption Key (DEK).\n\n### Access control\n\n*Access Control List (ACL)*\n: A list of users or groups that can open or read a file.\n\n*Authentication JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by the identity partner (IdP) to attest a user's identity.\n\n*Authorization JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by Google to verify that the caller is authorized to encrypt or decrypt a resource.\n\n*JSON Web Key Set (JWKS)*\n: A read-only endpoint URL that points to a list of public keys used to verify\n JSON Web Tokens (JWT).\n\n*Perimeter*\n: Additional checks performed on the authentication and authorization tokens\n within the KACLS for access control.\n\nClient-side encryption process\n------------------------------\n\nAfter an administrator enables CSE for their organization, users for whom CSE is\nenabled can choose to create encrypted documents using the Google Workspace\ncollaborative content creation tools, like Docs and Sheets, or encrypt files\nthey upload to Google Drive, such as PDFs.\n\nAfter the user encrypts a document or file:\n\n1. Google Workspace generates a DEK in the client browser to encrypt the\n content.\n\n2. Google Workspace sends the DEK and authentication tokens to your third-party\n KACLS for encryption, using a URL you provide to the\n Google Workspace organization's administrator.\n\n3. Your KACLS uses this API to encrypt the DEK, then sends the obfuscated,\n encrypted DEK back to Google Workspace.\n\n4. Google Workspace stores the obfuscated, encrypted data in the cloud.\n Only users with access to your KACLS are able to access the data.\n\nFor more details, see [Encrypt and decrypt files](/workspace/cse/guides/encrypt-and-decrypt-data).\n\nNext steps\n----------\n\n- Learn how to [configure your service](/workspace/cse/guides/configure-service).\n- Learn how to [encrypt \\& decrypt data](/workspace/cse/guides/encrypt-and-decrypt-data)."]]
