Xây dựng dịch vụ mã khoá tuỳ chỉnh để dùng tính năng mã hoá phía máy khách

Bạn có thể sử dụng khoá mã hoá của riêng mình để mã hoá dữ liệu của tổ chức thay vì sử dụng quy trình mã hoá do Google Workspace cung cấp. Khi sử dụng tính năng Mã hoá phía máy khách (CSE) của Google Workspace, quá trình mã hoá tệp sẽ được xử lý trong trình duyệt của máy khách trước khi tệp được lưu trữ trong bộ nhớ trên đám mây của Drive. Bằng cách đó, các máy chủ của Google không thể truy cập vào khoá mã hoá của bạn và do đó, không thể giải mã dữ liệu của bạn. Để biết thêm thông tin, hãy xem bài viết Giới thiệu về tính năng mã hoá phía máy khách.

API này cho phép bạn kiểm soát các khoá mã hoá cấp cao nhất giúp bảo vệ dữ liệu của bạn bằng một dịch vụ khoá bên ngoài tuỳ chỉnh. Sau khi bạn tạo một dịch vụ khoá bên ngoài bằng API này, quản trị viên Google Workspace có thể kết nối với dịch vụ đó và bật tính năng CSE cho người dùng.

Thuật ngữ quan trọng

Dưới đây là danh sách các thuật ngữ thường dùng trong Google Workspace Client-side Encryption API:

Tính năng mã hoá phía máy khách (CSE)
Mã hoá được xử lý trong trình duyệt của máy khách trước khi được lưu trữ trong bộ nhớ trên đám mây. Điều này giúp bảo vệ tệp khỏi bị nhà cung cấp dịch vụ lưu trữ đọc. Tìm hiểu thêm
Dịch vụ Danh sách kiểm soát truy cập khoá (KACLS)
Dịch vụ khoá bên ngoài của bạn sử dụng API này để kiểm soát quyền truy cập vào các khoá mã hoá được lưu trữ trong một hệ thống bên ngoài.
Nhà cung cấp danh tính (IdP)
Dịch vụ xác thực người dùng trước khi họ có thể mã hoá tệp hoặc truy cập vào tệp đã mã hoá.

Mã hoá và giải mã

Khoá mã hoá dữ liệu (DEK)
Khoá mà Google Workspace sử dụng trong máy khách trình duyệt để mã hoá chính dữ liệu.
Khoá mã hoá khoá (KEK)
Khoá từ dịch vụ của bạn dùng để mã hoá Khoá mã hoá dữ liệu (DEK).

Kiểm soát ra vào

Danh sách kiểm soát quyền truy cập (ACL)
Danh sách người dùng hoặc nhóm có thể mở hoặc đọc một tệp.
Mã thông báo web JSON (JWT) xác thực
Mã thông báo của người mang (JWT: RFC 7516) do đối tác nhận dạng (IdP) phát hành để chứng thực danh tính của người dùng.
Mã thông báo web JSON (JWT) uỷ quyền
Mã thông báo của người mang (JWT: RFC 7516) do Google phát hành để xác minh rằng phương thức gọi được phép mã hoá hoặc giải mã một tài nguyên.
JSON Web Key Set (JWKS)
URL của điểm cuối chỉ đọc trỏ đến danh sách khoá công khai dùng để xác minh JSON Web Token (JWT).
Chu vi
Các bước kiểm tra bổ sung được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS để kiểm soát quyền truy cập.

Quy trình mã hoá phía máy khách

Sau khi quản trị viên bật tính năng CSE cho tổ chức của họ, những người dùng được bật tính năng CSE có thể chọn tạo tài liệu được mã hoá bằng các công cụ tạo nội dung cộng tác của Google Workspace (chẳng hạn như Tài liệu và Trang tính) hoặc mã hoá các tệp mà họ tải lên Google Drive (chẳng hạn như tệp PDF).

Sau khi người dùng mã hoá một tài liệu hoặc tệp:

  1. Google Workspace tạo một DEK trong trình duyệt của máy khách để mã hoá nội dung.

  2. Google Workspace gửi DEK và mã thông báo xác thực đến KACLS bên thứ ba của bạn để mã hoá, bằng cách sử dụng một URL mà bạn cung cấp cho quản trị viên của tổ chức Google Workspace.

  3. KACLS của bạn sử dụng API này để mã hoá DEK, sau đó gửi DEK đã mã hoá và làm rối mã nguồn trở lại Google Workspace.

  4. Google Workspace lưu trữ dữ liệu đã được mã hoá và làm rối mã nguồn trên đám mây. Chỉ những người dùng có quyền truy cập vào KACLS của bạn mới có thể truy cập vào dữ liệu.

Để biết thêm thông tin, hãy xem phần Mã hoá và giải mã tệp.

Các bước tiếp theo