ภาพรวม API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนที่จะใช้การเข้ารหัสที่ Google Workspace มีให้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ของไดรฟ์ ซึ่งวิธีนี้จะทําให้เซิร์ฟเวอร์ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัสของคุณได้ ดังนั้นจึงไม่สามารถถอดรหัสข้อมูลของคุณ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลด้วยบริการจัดการคีย์ภายนอกที่กําหนดเองได้ หลังจากที่สร้างบริการจัดการคีย์ภายนอกด้วย API นี้ ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อกับบริการดังกล่าวและเปิดใช้ CSE ให้กับผู้ใช้ได้

คําศัพท์ที่สําคัญ

ด้านล่างนี้เป็นรายการคําศัพท์ทั่วไปที่ใช้ใน API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
การเข้ารหัสที่จัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ ซึ่งจะเป็นการป้องกันการอ่านไฟล์โดยผู้ให้บริการพื้นที่เก็บข้อมูล ดูข้อมูลเพิ่มเติม
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)
บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสที่จัดเก็บไว้ในระบบภายนอก
ผู้ให้บริการข้อมูลประจําตัว (IdP)
บริการที่จะตรวจสอบสิทธิ์ผู้ใช้ก่อนที่จะเข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัส

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)
คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์ของเบราว์เซอร์เพื่อเข้ารหัสข้อมูลด้วยตนเอง
คีย์การเข้ารหัสคีย์ (KEK)
คีย์จากบริการของคุณที่ใช้เข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)
รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้
โทเค็นการตรวจสอบสิทธิ์ JSON (JWT)
โทเค็นสําหรับผู้ถือ (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจําตัว (IdP) เพื่อพิสูจน์ตัวตนของผู้ใช้
โทเค็นเว็บ JSON สําหรับการให้สิทธิ์ (JWT)
โทเค็นสําหรับผู้ถือ (JWT: RFC 7516) ที่ออกให้โดย Google เพื่อยืนยันว่าผู้โทรได้รับอนุญาตให้เข้ารหัสหรือถอดรหัสทรัพยากร
ชุดคีย์เว็บ JSON (JWKS)
URL ปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้ยืนยันโทเค็นเว็บ JSON (JWT)
ขอบเขต
การตรวจสอบเพิ่มเติมกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS เพื่อการควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE ให้องค์กรของตนเองแล้ว ผู้ใช้ที่เปิดใช้ CSE ให้สามารถเลือกสร้างเอกสารที่เข้ารหัสโดยใช้เครื่องมือสร้างเนื้อหาแบบทํางานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสลับไฟล์ที่อัปโหลดไปยัง Google ไดรฟ์ เช่น PDF

หลังจากที่ผู้ใช้เข้ารหัสเอกสารหรือไฟล์แล้ว ให้ทําดังนี้

  1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ไคลเอ็นต์เพื่อเข้ารหัสเนื้อหา

  2. Google Workspace จะส่งโทเค็น DEK และโทเค็นการตรวจสอบสิทธิ์ไปยัง KACLS ของบุคคลที่สามเพื่อเข้ารหัส โดยใช้ URL ที่คุณให้กับผู้ดูแลระบบขององค์กร Google Workspace

  3. KACLS ใช้ API นี้ในการเข้ารหัส DEK แล้วจึงส่ง DEK ที่มีการเข้ารหัสและสร้างความสับสนไปยัง Google Workspace

  4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสและเข้ารหัสไว้ในระบบคลาวด์ มีเพียงผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS เท่านั้นที่จะเข้าถึงข้อมูลได้

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเข้ารหัสและถอดรหัสไฟล์

ขั้นตอนถัดไป