ขณะนี้ API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace อยู่ในรุ่นเบต้าแบบจํากัด สมัครใช้งาน

ภาพรวม API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

จัดทุกอย่างให้เป็นระเบียบอยู่เสมอด้วยคอลเล็กชัน บันทึกและจัดหมวดหมู่เนื้อหาตามค่ากำหนดของคุณ

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนที่จะใช้การเข้ารหัสที่ Google Workspace มีให้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ของ Google (CSE) การเข้ารหัสไฟล์จะจัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ของไดรฟ์และ #39 ซึ่งการดําเนินการนี้จะทําให้เซิร์ฟเวอร์ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัส และไม่สามารถถอดรหัสข้อมูลของคุณได้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณด้วยบริการคีย์ภายนอกที่กําหนดเอง หลังจากที่สร้างบริการจัดการคีย์ภายนอกด้วย API นี้แล้ว ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อบริการดังกล่าวและเปิดใช้ CSE ให้กับผู้ใช้ได้

คําศัพท์ที่สําคัญ

ด้านล่างนี้เป็นรายการคําศัพท์ทั่วไปที่ใช้ใน API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
การเข้ารหัสที่ได้รับการจัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ วิธีนี้จะช่วยปกป้องไฟล์ไม่ให้ผู้ให้บริการพื้นที่เก็บข้อมูลอ่าน ดูข้อมูลเพิ่มเติม
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)
บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสที่จัดเก็บไว้ในระบบภายนอก
ผู้ให้บริการข้อมูลประจําตัว (IdP)
บริการที่จะตรวจสอบสิทธิ์ผู้ใช้ก่อนที่จะเข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัส

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)
คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์ของเบราว์เซอร์เพื่อเข้ารหัสข้อมูลเอง
คีย์การเข้ารหัสคีย์ (KEK)
คีย์จากบริการของคุณที่ใช้เข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)
รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้
โทเค็นการตรวจสอบสิทธิ์ JSON สําหรับเว็บ (JWT)
โทเค็นสําหรับผู้ถือ (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจําตัว (IdP) เพื่อรับรองข้อมูลประจําตัวของผู้ใช้
โทเค็นเว็บการให้สิทธิ์ของ JSON (JWT)
โทเค็นสําหรับผู้ถือ (JWT: RFC 7516) ที่ Google ออกให้ยืนยันว่าผู้โทรได้รับอนุญาตให้เข้ารหัสหรือถอดรหัสทรัพยากร
ชุดคีย์เว็บ JSON (JWKS)
URL ปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้ยืนยันโทเค็นเว็บ JSON (JWT)
เส้นรอบรูป
ทําการตรวจสอบเพิ่มเติมเกี่ยวกับโทเค็นการตรวจสอบสิทธิ์และโทเค็นการให้สิทธิ์ภายใน KACLS เพื่อควบคุมการเข้าถึง

ขั้นตอนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE ให้กับองค์กรของตน ผู้ใช้ที่เปิดใช้ CSE อยู่แล้วจะเลือกสร้างเอกสารที่เข้ารหัสโดยใช้เครื่องมือการสร้างเนื้อหาแบบทํางานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ที่อัปโหลดไปยัง Google ไดรฟ์ เช่น PDF ได้

หลังจากผู้ใช้เข้ารหัสเอกสารหรือไฟล์แล้ว ให้ทําดังนี้

  1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ไคลเอ็นต์เพื่อเข้ารหัสเนื้อหา

  2. Google Workspace จะส่งโทเค็น DEK และโทเค็นการตรวจสอบสิทธิ์ไปยัง KACLS ของบุคคลที่สามเพื่อการเข้ารหัสโดยใช้ URL ที่คุณให้กับผู้ดูแลระบบขององค์กร Google Workspace

  3. KACLS ใช้ API นี้เพื่อเข้ารหัสเนื้อหา จากนั้นส่งข้อมูลที่เข้ารหัสและมีความสับสนกลับไปยัง Google Workspace

  4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสซึ่งสร้างความสับสนไว้ในระบบคลาวด์ เฉพาะผู้ใช้ ที่เปิดใช้ CSE และมีสิทธิ์เข้าถึง KACLS เท่านั้นที่จะเข้าถึงข้อมูลได้

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเข้ารหัสและถอดรหัสไฟล์

ขั้นตอนถัดไป