Ta strona została przetłumaczona przez Cloud Translation API.

Tworzenie niestandardowej usługi kluczy na potrzeby szyfrowania po stronie klienta

Do szyfrowania danych organizacji możesz używać własnych kluczy szyfrowania zamiast szyfrowania udostępnianego przez Google Workspace. Szyfrowanie po stronie klienta Google Workspace (CSE) szyfruje pliki w przeglądarce klienta, zanim zostaną one zapisane w chmurze na Dysku. Dzięki temu serwery Google nie mogą uzyskać dostępu do Twoich kluczy szyfrowania, a tym samym nie mogą odszyfrować Twoich danych. Więcej informacji znajdziesz w artykule Informacje o szyfrowaniu po stronie klienta.

Ten interfejs API umożliwia sterowanie kluczami szyfrowania najwyższego poziomu, które chronią Twoje dane, za pomocą niestandardowej zewnętrznej usługi kluczy. Po utworzeniu zewnętrznej usługi kluczy za pomocą tego interfejsu API administratorzy Google Workspace mogą się z nią połączyć i włączyć szyfrowanie po stronie klienta dla użytkowników.

Ważna terminologia

Poniżej znajdziesz listę typowych terminów używanych w interfejsie Google Workspace Client-side Encryption API:

Szyfrowanie po stronie klienta: Szyfrowanie odbywa się w przeglądarce klienta, zanim dane zostaną zapisane w chmurze. Chroni to plik przed odczytaniem przez dostawcę usługi przechowywania. Więcej informacji
Usługa listy kontroli dostępu do kluczy (KACLS): Zewnętrzna usługa kluczy, która używa tego interfejsu API do kontrolowania dostępu do kluczy szyfrowania przechowywanych w systemie zewnętrznym.
Dostawca tożsamości: Usługa, która uwierzytelnia użytkowników, zanim zaszyfrują pliki lub uzyskają dostęp do zaszyfrowanych plików.

Szyfrowanie i odszyfrowywanie

Klucz szyfrujący dane (DEK): Klucz używany przez Google Workspace w kliencie przeglądarki do szyfrowania danych.
Klucz szyfrujący klucze (KEK): Klucz z Twojej usługi używany do szyfrowania klucza szyfrującego dane (DEK).

Kontrola dostępu

Lista kontroli dostępu (ACL): Lista użytkowników lub grup, które mogą otwierać lub odczytywać plik.
Token internetowy JSON (JWT) do uwierzytelniania: Token dostępu (JWT: RFC 7516) wydany przez partnera ds. tożsamości (IdP) w celu potwierdzenia tożsamości użytkownika.
Token internetowy JSON (JWT) autoryzacji: Token dostępu (JWT: RFC 7516) wydany przez Google w celu potwierdzenia, że podmiot wywołujący jest uprawniony do szyfrowania lub odszyfrowywania zasobu.
Zestaw kluczy internetowych JSON (JWKS): Adres URL punktu końcowego tylko do odczytu, który wskazuje listę kluczy publicznych używanych do weryfikacji tokenów internetowych JSON (JWT).
Obwód: Dodatkowe sprawdzanie tokenów uwierzytelniania i autoryzacji w KACLS pod kątem kontroli dostępu.

Proces szyfrowania po stronie klienta

Gdy administrator włączy szyfrowanie po stronie klienta w organizacji, użytkownicy, dla których jest ono włączone, będą mogli tworzyć zaszyfrowane dokumenty za pomocą narzędzi Google Workspace do tworzenia treści we współpracy, takich jak Dokumenty i Arkusze, lub szyfrować pliki przesyłane na Dysk Google, takie jak pliki PDF.

Po zaszyfrowaniu dokumentu lub pliku przez użytkownika:

Google Workspace generuje w przeglądarce klienta klucz DEK, aby zaszyfrować treść.
Google Workspace wysyła klucz DEK i tokeny uwierzytelniania do zewnętrznego systemu KACLS w celu zaszyfrowania ich za pomocą adresu URL, który podasz administratorowi organizacji Google Workspace.
Twój serwer KACLS używa tego interfejsu API do szyfrowania klucza DEK, a następnie wysyła zaciemniony, zaszyfrowany klucz DEK z powrotem do Google Workspace.
Google Workspace przechowuje zaciemnione i zaszyfrowane dane w chmurze. Dostęp do danych mają tylko użytkownicy, którzy mają dostęp do Twojego KACLS.

Więcej informacji znajdziesz w artykule Szyfrowanie i odszyfrowywanie plików.

Dalsze kroki

Dowiedz się, jak skonfigurować usługę.
Dowiedz się, jak szyfrować i odszyfrowywać dane.

Tworzenie niestandardowej usługi kluczy na potrzeby szyfrowania po stronie klienta Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.