Вы можете использовать собственные ключи шифрования для шифрования данных вашей организации вместо шифрования, предоставляемого Google Workspace. При использовании шифрования на стороне клиента (CSE) Google Workspace шифрование файлов выполняется в браузере клиента до их сохранения в облачном хранилище Диска. Таким образом, серверы Google не смогут получить доступ к вашим ключам шифрования и, следовательно, расшифровать ваши данные. Подробнее см. в статье «Шифрование на стороне клиента» .
Этот API позволяет управлять ключами шифрования верхнего уровня, защищающими ваши данные с помощью настраиваемой внешней службы ключей. После создания внешней службы ключей с помощью этого API администраторы Google Workspace смогут подключиться к ней и включить CSE для своих пользователей.
Важная терминология
Ниже приведен список общих терминов, используемых в API шифрования на стороне клиента Google Workspace:
- Шифрование на стороне клиента (CSE)
- Шифрование, выполняемое в браузере клиента перед сохранением файла в облачном хранилище. Это защищает файл от чтения поставщиком хранилища. Подробнее
- Служба списков контроля доступа к ключам (KACLS)
- Ваша внешняя служба ключей, которая использует этот API для управления доступом к ключам шифрования, хранящимся во внешней системе.
- Поставщик удостоверений (IdP)
- Служба, которая аутентифицирует пользователей, прежде чем они смогут шифровать файлы или получать доступ к зашифрованным файлам.
Шифрование и дешифрование
- Ключ шифрования данных (DEK)
- Ключ, используемый Google Workspace в браузерном клиенте для шифрования самих данных.
- Ключ шифрования ключа (KEK)
- Ключ вашего сервиса, используемый для шифрования ключа шифрования данных (DEK).
Контроль доступа
- Список контроля доступа (ACL)
- Список пользователей или групп, которые могут открыть или прочитать файл.
- Аутентификация JSON Web Token (JWT)
- Токен на предъявителя ( JWT: RFC 7516 ), выдаваемый партнером по идентификации (IdP) для подтверждения личности пользователя.
- Авторизация JSON Web Token (JWT)
- Токен на предъявителя ( JWT: RFC 7516 ), выпущенный Google для подтверждения того, что вызывающий абонент уполномочен шифровать или расшифровывать ресурс.
- Набор веб-ключей JSON (JWKS)
- URL-адрес конечной точки, доступный только для чтения, который указывает на список открытых ключей, используемых для проверки JSON Web Tokens (JWT).
- Периметр
- Для контроля доступа проводятся дополнительные проверки токенов аутентификации и авторизации в рамках KACLS.
Процесс шифрования на стороне клиента
После того как администратор включит CSE для своей организации, пользователи, для которых включен CSE, смогут создавать зашифрованные документы с помощью инструментов Google Workspace для совместного создания контента, таких как Docs и Sheets, или шифровать файлы, загружаемые ими на Google Диск, например PDF-файлы.
После того как пользователь зашифрует документ или файл:
Google Workspace генерирует DEK в клиентском браузере для шифрования контента.
Google Workspace отправляет DEK и токены аутентификации стороннему KACLS для шифрования, используя URL-адрес, который вы предоставляете администратору организации Google Workspace.
Ваш KACLS использует этот API для шифрования DEK, а затем отправляет зашифрованный DEK обратно в Google Workspace.
Google Workspace хранит зашифрованные данные в облаке. Доступ к ним имеют только пользователи, имеющие доступ к вашему списку ключей безопасности (KACLS).
Более подробную информацию см. в разделе Шифрование и дешифрование файлов .
Следующие шаги
- Узнайте, как настроить ваш сервис .
- Узнайте, как шифровать и расшифровывать данные .