您可以使用自己的加密金鑰來加密貴機構的資料,而不使用 Google Workspace 提供的加密機制。有了 Google Workspace 用戶端加密 (CSE) 功能,檔案加密後就會先在用戶端的瀏覽器中處理,再儲存到雲端硬碟的雲端式儲存空間。這麼一來,Google 伺服器就無法存取您的加密金鑰,因此無法解密資料。詳情請參閱「關於用戶端加密」。
這個 API 可讓您透過自訂外部金鑰服務,控管保護資料的頂層加密金鑰。使用這個 API 建立外部金鑰服務後,Google Workspace 管理員可以連線至該服務,並為使用者啟用 CSE。
重要術語
以下是 Google Workspace Client-side Encryption API 中的常見詞彙:
- 用戶端加密 (CSE)
- 在用戶端瀏覽器儲存資料至雲端式儲存空間前,先在用戶端瀏覽器中處理的加密內容。這樣做可以防止儲存空間供應商讀取檔案。瞭解詳情
- 金鑰存取控制清單 (KACLS)
- 您的外部金鑰服務會使用這個 API,控管儲存在外部系統中的加密金鑰存取權。
- 識別資訊提供者 (IdP)
- 在使用者為檔案加密或存取加密檔案前,驗證使用者的服務。
加密與解密
- 資料加密金鑰 (DEK)
- Google Workspace 在瀏覽器用戶端使用的金鑰,用來加密資料。
- 金鑰加密金鑰 (KEK)
- 您的服務金鑰,用於加密資料加密金鑰 (DEK)。
存取權控管
- 存取控制清單 (ACL)
- 可以開啟或讀取檔案的使用者或群組清單。
- 驗證 JSON Web Token (JWT)
- 由識別資訊提供者 (IdP) 核發的不記權杖 (JWT:RFC 7516),用於認證使用者身分。
- 授權 JSON Web Token (JWT)
- Google 核發的縮寫權杖 (JWT:RFC 7516),用於驗證呼叫端是否獲得授權,可對資源進行加密或解密。
- JSON 網路金鑰集 (JWKS)
- 唯讀端點網址,指向用於驗證 JSON Web Token (JWT) 的公開金鑰清單。
- 週長
- 針對存取權控管執行其他 KACLS 驗證和授權權杖檢查。
用戶端加密程序
管理員為機構啟用 CSE 後,已啟用 CSE 的使用者可選擇使用 Google Workspace 協作內容建立工具 (例如文件和試算表) 建立加密文件,或加密他們上傳至 Google 雲端硬碟的檔案 (例如 PDF)。
使用者將文件或檔案加密後:
Google Workspace 會在用戶端瀏覽器中產生 DEK 來加密內容。
Google Workspace 會使用您提供給 Google Workspace 機構管理員的網址,將 DEK 和驗證權杖傳送至您的第三方 KACLS 以進行加密。
KACLS 會使用這個 API 加密 DEK,然後將經過模糊處理的加密 DEK 傳回 Google Workspace。
Google Workspace 會將經過模糊處理的加密資料儲存在雲端。只有具備 KACLS 存取權的使用者才能存取這些資料。
詳情請參閱加密及解密檔案。