Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la API de encriptación del cliente de Google Workspace

Puedes usar tus propias claves de encriptación para encriptar los datos de tu organización, en lugar de usar la encriptación que proporciona Google Workspace. Con la encriptación del cliente (CSE) de Google Workspace, la encriptación de archivos se maneja en el navegador del cliente antes de que se almacene en el almacenamiento basado en la nube de Drive. De esa manera, los servidores de Google no podrán acceder a tus claves de encriptación y, por lo tanto, no podrán desencriptar tus datos. Para obtener más detalles, consulta Acerca de la encriptación del cliente.

Esta API te permite controlar las claves de encriptación de nivel superior que protegen tus datos con un servicio de claves externo personalizado. Después de crear un servicio de claves externo con esta API, los administradores de Google Workspace pueden conectarse a él y habilitar el CSE para sus usuarios.

Terminología importante

A continuación, se muestra una lista de términos comunes usados en la API de encriptación del cliente de Google Workspace:

Encriptación del cliente (CSE): La encriptación que se controla en el navegador del cliente antes de que se almacene en un almacenamiento basado en la nube. Esto evita que el proveedor de almacenamiento lea el archivo. Más información
Servicio de lista de control de acceso a las claves (KACLS): Tu servicio de claves externo que usa esta API para controlar el acceso a las claves de encriptación almacenadas en un sistema externo.
Proveedor de identidad (IdP): Es el servicio que autentica a los usuarios antes de que puedan encriptar archivos o acceder a ellos.

Encriptación y desencriptación

Clave de encriptación de datos (DEK): La clave que usa Google Workspace en el cliente del navegador para encriptar los datos.
Clave de encriptación de claves (KEK): Una clave de tu servicio que se usa para encriptar una clave de encriptación de datos (DEK).

Control de acceso

Lista de control de acceso (LCA): Una lista de usuarios o grupos que pueden abrir o leer un archivo.
Token web de autenticación JSON (JWT): El token del portador (JWT: RFC 7516) emitido por el socio de identidad (IdP) para certificar la identidad de un usuario.
Token web JSON de autorización (JWT): El token del portador (JWT: RFC 7516) que emite Google para verificar que el emisor esté autorizado a encriptar o desencriptar un recurso.
Conjunto de claves web JSON (JWKS): Una URL de extremo de solo lectura que apunta a una lista de claves públicas que se usan para verificar los tokens web JSON (JWT).
Perímetro: Verificaciones adicionales realizadas en los tokens de autenticación y autorización de KACLS para el control de acceso

Proceso de encriptación del cliente

Después de que un administrador habilita el CSE en su organización, los usuarios para los que este puede habilitar la creación de documentos encriptados mediante las herramientas de colaboración de Google Workspace, como Documentos y Hojas de cálculo, o encriptar archivos que suben a Google Drive, como PDF.

Después de que el usuario encripta un documento o archivo:

Google Workspace genera una DEK en el navegador del cliente para encriptar el contenido.
Google Workspace envía los tokens de DEK y de autenticación a tu KACLS de terceros para su encriptación mediante una URL que proporcionas al administrador de la organización de Google Workspace.
Tu KACLS usa esta API para encriptar el contenido y, luego, envía los datos ofuscados y encriptados de nuevo a Google Workspace.
Google Workspace almacena los datos ofuscados y encriptados en la nube. Solo los usuarios con CSE habilitado y el acceso a tus KACLS pueden acceder a los datos.

Para obtener más detalles, consulta Encripta y desencripta archivos.

Próximos pasos

Obtén información sobre cómo configurar tu servicio.
Aprende a encriptar y desencriptar datos.