Создайте собственный сервис ключей для шифрования на стороне клиента.

Вы можете использовать собственные ключи шифрования для шифрования данных вашей организации вместо шифрования, предоставляемого Google Workspace. При использовании шифрования на стороне клиента (CSE) Google Workspace шифрование файлов выполняется в браузере клиента до их сохранения в облачном хранилище Диска. Таким образом, серверы Google не смогут получить доступ к вашим ключам шифрования и, следовательно, расшифровать ваши данные. Подробнее см. в статье «Шифрование на стороне клиента» .

Этот API позволяет управлять ключами шифрования верхнего уровня, защищающими ваши данные с помощью настраиваемой внешней службы ключей. После создания внешней службы ключей с помощью этого API администраторы Google Workspace смогут подключиться к ней и включить CSE для своих пользователей.

Важная терминология

Ниже приведен список общих терминов, используемых в API шифрования на стороне клиента Google Workspace:

Шифрование на стороне клиента (CSE)
Шифрование, выполняемое в браузере клиента перед сохранением файла в облачном хранилище. Это защищает файл от чтения поставщиком хранилища. Подробнее
Служба списков контроля доступа к ключам (KACLS)
Ваша внешняя служба ключей, которая использует этот API для управления доступом к ключам шифрования, хранящимся во внешней системе.
Поставщик удостоверений (IdP)
Служба, которая аутентифицирует пользователей, прежде чем они смогут шифровать файлы или получать доступ к зашифрованным файлам.

Шифрование и дешифрование

Ключ шифрования данных (DEK)
Ключ, используемый Google Workspace в браузерном клиенте для шифрования самих данных.
Ключ шифрования ключа (KEK)
Ключ вашего сервиса, используемый для шифрования ключа шифрования данных (DEK).

Контроль доступа

Список контроля доступа (ACL)
Список пользователей или групп, которые могут открыть или прочитать файл.
Аутентификация JSON Web Token (JWT)
Токен на предъявителя ( JWT: RFC 7516 ), выдаваемый партнером по идентификации (IdP) для подтверждения личности пользователя.
Авторизация JSON Web Token (JWT)
Токен на предъявителя ( JWT: RFC 7516 ), выпущенный Google для подтверждения того, что вызывающий абонент уполномочен шифровать или расшифровывать ресурс.
Набор веб-ключей JSON (JWKS)
URL-адрес конечной точки, доступный только для чтения, который указывает на список открытых ключей, используемых для проверки JSON Web Tokens (JWT).
Периметр
Для контроля доступа проводятся дополнительные проверки токенов аутентификации и авторизации в рамках KACLS.

Процесс шифрования на стороне клиента

После того как администратор включит CSE для своей организации, пользователи, для которых включен CSE, смогут создавать зашифрованные документы с помощью инструментов Google Workspace для совместного создания контента, таких как Docs и Sheets, или шифровать файлы, загружаемые ими на Google Диск, например PDF-файлы.

После того как пользователь зашифрует документ или файл:

  1. Google Workspace генерирует DEK в клиентском браузере для шифрования контента.

  2. Google Workspace отправляет DEK и токены аутентификации стороннему KACLS для шифрования, используя URL-адрес, который вы предоставляете администратору организации Google Workspace.

  3. Ваш KACLS использует этот API для шифрования DEK, а затем отправляет зашифрованный DEK обратно в Google Workspace.

  4. Google Workspace хранит зашифрованные данные в облаке. Доступ к ним имеют только пользователи, имеющие доступ к вашему списку ключей безопасности (KACLS).

Более подробную информацию см. в разделе Шифрование и дешифрование файлов .

Следующие шаги