Создайте собственный сервис ключей для шифрования на стороне клиента.
Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.
Вы можете использовать собственные ключи шифрования для шифрования данных вашей организации вместо шифрования, предоставляемого Google Workspace. При использовании шифрования на стороне клиента (CSE) Google Workspace шифрование файлов выполняется в браузере клиента до их сохранения в облачном хранилище Диска. Таким образом, серверы Google не смогут получить доступ к вашим ключам шифрования и, следовательно, расшифровать ваши данные. Подробнее см. в статье «Шифрование на стороне клиента» .
Этот API позволяет управлять ключами шифрования верхнего уровня, защищающими ваши данные с помощью настраиваемой внешней службы ключей. После создания внешней службы ключей с помощью этого API администраторы Google Workspace смогут подключиться к ней и включить CSE для своих пользователей.
Важная терминология
Ниже приведен список общих терминов, используемых в API шифрования на стороне клиента Google Workspace:
Шифрование на стороне клиента (CSE)
Шифрование, выполняемое в браузере клиента перед сохранением файла в облачном хранилище. Это защищает файл от чтения поставщиком хранилища. Подробнее
Служба списков контроля доступа к ключам (KACLS)
Ваша внешняя служба ключей, которая использует этот API для управления доступом к ключам шифрования, хранящимся во внешней системе.
Поставщик удостоверений (IdP)
Служба, которая аутентифицирует пользователей, прежде чем они смогут шифровать файлы или получать доступ к зашифрованным файлам.
Шифрование и дешифрование
Ключ шифрования данных (DEK)
Ключ, используемый Google Workspace в браузерном клиенте для шифрования самих данных.
Ключ шифрования ключа (KEK)
Ключ вашего сервиса, используемый для шифрования ключа шифрования данных (DEK).
Контроль доступа
Список контроля доступа (ACL)
Список пользователей или групп, которые могут открыть или прочитать файл.
Аутентификация JSON Web Token (JWT)
Токен на предъявителя ( JWT: RFC 7516 ), выдаваемый партнером по идентификации (IdP) для подтверждения личности пользователя.
Авторизация JSON Web Token (JWT)
Токен на предъявителя ( JWT: RFC 7516 ), выпущенный Google для подтверждения того, что вызывающий абонент уполномочен шифровать или расшифровывать ресурс.
Набор веб-ключей JSON (JWKS)
URL-адрес конечной точки, доступный только для чтения, который указывает на список открытых ключей, используемых для проверки JSON Web Tokens (JWT).
Периметр
Для контроля доступа проводятся дополнительные проверки токенов аутентификации и авторизации в рамках KACLS.
Процесс шифрования на стороне клиента
После того как администратор включит CSE для своей организации, пользователи, для которых включен CSE, смогут создавать зашифрованные документы с помощью инструментов Google Workspace для совместного создания контента, таких как Docs и Sheets, или шифровать файлы, загружаемые ими на Google Диск, например PDF-файлы.
После того как пользователь зашифрует документ или файл:
Google Workspace генерирует DEK в клиентском браузере для шифрования контента.
Google Workspace отправляет DEK и токены аутентификации стороннему KACLS для шифрования, используя URL-адрес, который вы предоставляете администратору организации Google Workspace.
Ваш KACLS использует этот API для шифрования DEK, а затем отправляет зашифрованный DEK обратно в Google Workspace.
Google Workspace хранит зашифрованные данные в облаке. Доступ к ним имеют только пользователи, имеющие доступ к вашему списку ключей безопасности (KACLS).
[[["Прост для понимания","easyToUnderstand","thumb-up"],["Помог мне решить мою проблему","solvedMyProblem","thumb-up"],["Другое","otherUp","thumb-up"]],[["Отсутствует нужная мне информация","missingTheInformationINeed","thumb-down"],["Слишком сложен/слишком много шагов","tooComplicatedTooManySteps","thumb-down"],["Устарел","outOfDate","thumb-down"],["Проблема с переводом текста","translationIssue","thumb-down"],["Проблемы образцов/кода","samplesCodeIssue","thumb-down"],["Другое","otherDown","thumb-down"]],["Последнее обновление: 2025-08-04 UTC."],[[["\u003cp\u003eGoogle Workspace Client-side Encryption (CSE) allows you to encrypt your organization's data with your own keys, preventing Google servers from accessing or decrypting it.\u003c/p\u003e\n"],["\u003cp\u003eThis API enables you to manage the encryption keys via an external key service, giving you control over data access.\u003c/p\u003e\n"],["\u003cp\u003eCSE encrypts files in the user's browser before they are stored in Google Drive, ensuring only authorized users with access to your external key service can decrypt them.\u003c/p\u003e\n"],["\u003cp\u003eWhen a file is encrypted, Google Workspace generates a Data Encryption Key (DEK), which is then encrypted by your external key service and stored with the encrypted data.\u003c/p\u003e\n"],["\u003cp\u003eTo get started, you can configure your external key service and learn how to encrypt and decrypt data using the provided guides.\u003c/p\u003e\n"]]],["Google Workspace Client-side Encryption (CSE) allows users to encrypt data in their browser before cloud storage. This is achieved by using your own external Key Access Control List Service (KACLS). Google Workspace generates a Data Encryption Key (DEK) and sends it to your KACLS for encryption with a Key Encryption Key (KEK). Your service then returns the encrypted DEK to Google Workspace. This ensures that only users with KACLS access can decrypt the stored data.\n"],null,["You can use your own encryption keys to encrypt your organization's data,\ninstead of using the encryption that Google Workspace provides. With Google Workspace Client-side Encryption (CSE), file encryption is handled in the\nclient's browser before it's stored in Drive's cloud-based storage. That way,\nGoogle servers can't access your encryption keys and, therefore, can't decrypt\nyour data. For more details, see\n[About client-side encryption](https://support.google.com/a/answer/10741897#zippy=%2Cbasic-setup-steps-for-cse).\n\nThis API lets you control the top-level encryption keys that protect your data\nwith a custom external key service. After you create an external key service\nwith this API, Google Workspace administrators can connect to it and enable CSE\nfor their users.\n\nImportant terminology\n\nBelow is a list of common terms used in the Google Workspace Client-side Encryption API:\n\n*Client-side encryption (CSE)*\n: Encryption that's handled in the client's browser before it's stored in\n cloud-based storage. This protects the file from being read by the storage\n provider. [Learn more](https://support.google.com/a/answer/10741897#zippy=%2Chow-is-cse-different-from-end-to-end-ee-encryption)\n\n*Key Access Control List Service (KACLS)*\n: Your external key service that uses this API to control access to encryption\n keys stored in an external system.\n\n*Identity Provider (IdP)*\n: The service that authenticates users before they can encrypt files or access\n encrypted files.\n\nEncryption \\& decryption\n\n*Data Encryption Key (DEK)*\n: The key used by Google Workspace in the browser client to encrypt the data\n itself.\n\n*Key Encryption Key (KEK)*\n: A key from your service used to encrypt a Data Encryption Key (DEK).\n\nAccess control\n\n*Access Control List (ACL)*\n: A list of users or groups that can open or read a file.\n\n*Authentication JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by the identity partner (IdP) to attest a user's identity.\n\n*Authorization JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by Google to verify that the caller is authorized to encrypt or decrypt a resource.\n\n*JSON Web Key Set (JWKS)*\n: A read-only endpoint URL that points to a list of public keys used to verify\n JSON Web Tokens (JWT).\n\n*Perimeter*\n: Additional checks performed on the authentication and authorization tokens\n within the KACLS for access control.\n\nClient-side encryption process\n\nAfter an administrator enables CSE for their organization, users for whom CSE is\nenabled can choose to create encrypted documents using the Google Workspace\ncollaborative content creation tools, like Docs and Sheets, or encrypt files\nthey upload to Google Drive, such as PDFs.\n\nAfter the user encrypts a document or file:\n\n1. Google Workspace generates a DEK in the client browser to encrypt the\n content.\n\n2. Google Workspace sends the DEK and authentication tokens to your third-party\n KACLS for encryption, using a URL you provide to the\n Google Workspace organization's administrator.\n\n3. Your KACLS uses this API to encrypt the DEK, then sends the obfuscated,\n encrypted DEK back to Google Workspace.\n\n4. Google Workspace stores the obfuscated, encrypted data in the cloud.\n Only users with access to your KACLS are able to access the data.\n\nFor more details, see [Encrypt and decrypt files](/workspace/cse/guides/encrypt-and-decrypt-data).\n\nNext steps\n\n- Learn how to [configure your service](/workspace/cse/guides/configure-service).\n- Learn how to [encrypt \\& decrypt data](/workspace/cse/guides/encrypt-and-decrypt-data)."]]
