Per criptare i dati della tua organizzazione, puoi utilizzare le tue chiavi di crittografia, anziché utilizzare la crittografia fornita da Google Workspace. Con la crittografia lato client di Google Workspace, la crittografia dei file viene gestita nel browser del client prima di essere archiviati nello spazio di archiviazione basato su cloud di Drive. In questo modo i server di Google non possono accedere alle chiavi di crittografia e, pertanto, non possono decriptare i tuoi dati. Per maggiori dettagli, vedi Informazioni sulla crittografia lato client.
Questa API consente di controllare le chiavi di crittografia di primo livello che proteggono i tuoi dati con un servizio chiavi esterno personalizzato. Dopo aver creato un servizio chiavi esterno con questa API, gli amministratori di Google Workspace possono connettersi al servizio e attivare la crittografia lato client per i propri utenti.
Terminologia importante
Di seguito è riportato un elenco dei termini comuni utilizzati nell'API Client-Side Encryption di Google Workspace:
- Crittografia lato client
- Crittografia gestita nel browser del client prima dell'archiviazione nello spazio di archiviazione basato su cloud. Ciò impedisce che il file venga letto dal provider di archiviazione. Scopri di più
- KACLS (Key Access Control List Service)
- Il servizio chiavi esterno che utilizza questa API per controllare l'accesso alle chiavi di crittografia archiviate in un sistema esterno.
- Identity Provider (IdP)
- Il servizio che autentica gli utenti prima che possano criptare file o accedere a file criptati.
Crittografia e decrittografia
- Chiave di crittografia dei dati (DEK)
- La chiave utilizzata da Google Workspace nel client del browser per criptare i dati stessi.
- Chiave di crittografia della chiave (KEK)
- Una chiave del tuo servizio utilizzata per criptare una chiave di crittografia dei dati (DEK).
Controllo dell'accesso
- Elenco di controllo di accesso (ACL)
- Un elenco di utenti o gruppi che possono aprire o leggere un file.
- Token Web JSON di autenticazione (JWT)
- Token di connessione (JWT: RFC 7516) emesso dal partner di identità (IdP) per attestare l'identità di un utente.
- Token Web JSON di autorizzazione (JWT)
- Token di trasmissione (JWT: RFC 7516) emesso da Google per verificare che il chiamante sia autorizzato a criptare o decriptare una risorsa.
- Set di chiavi web JSON (JWKS)
- Un URL di endpoint di sola lettura che rimanda a un elenco di chiavi pubbliche utilizzate per verificare i token web JSON (JWT).
- Perimetro
- Controlli aggiuntivi eseguiti sui token di autenticazione e autorizzazione all'interno del KACLS per il controllo dell'accesso.
Procedura di crittografia lato client
Dopo che un amministratore ha attivato la crittografia lato client per la propria organizzazione, gli utenti per i quali è abilitata possono scegliere di creare documenti criptati utilizzando gli strumenti collaborativi di creazione di contenuti di Google Workspace, come Documenti e Fogli, o criptare i file che caricano su Google Drive, ad esempio i PDF.
Dopo che l'utente cripta un documento o un file:
Google Workspace genera una DEK nel browser client per criptare i contenuti.
Google Workspace invia i token DEK e di autenticazione al tuo KACLS di terze parti per la crittografia, utilizzando un URL da te fornito all'amministratore dell'organizzazione Google Workspace.
Il KACLS utilizza questa API per criptare la DEK, quindi invia la DEK offuscata e criptata a Google Workspace.
Google Workspace archivia i dati criptati offuscati nel cloud. Solo gli utenti con accesso al tuo KACLS possono accedere ai dati.
Per maggiori dettagli, vedi Criptare e decriptare i file.
Passaggi successivi
- Scopri come configurare il servizio.
- Scopri come criptare e decriptare i dati.