หน้านี้ได้รับการแปลโดย Cloud Translation API

สร้างบริการจัดการคีย์ที่กําหนดเองสําหรับการเข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนที่จะใช้การเข้ารหัสที่ Google Workspace ให้ไว้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ของไดรฟ์ ซึ่งการดำเนินการนี้จะทำให้เซิร์ฟเวอร์ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัสและถอดรหัสข้อมูลของคุณ ดูรายละเอียดเพิ่มเติมได้ที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณ ด้วยบริการจัดการคีย์ภายนอกที่กำหนดเองได้ หลังจากสร้างบริการจัดการคีย์ภายนอก ด้วย API นี้แล้ว ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อกับบริการดังกล่าวและเปิดใช้ CSE สำหรับผู้ใช้ได้

คำศัพท์สำคัญ

ด้านล่างนี้คือรายการคำศัพท์ทั่วไปที่ใช้ใน API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE): การเข้ารหัสที่จัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ใน พื้นที่เก็บข้อมูลในระบบคลาวด์ ซึ่งจะช่วยป้องกันไม่ให้ผู้ให้บริการพื้นที่เก็บข้อมูลอ่านไฟล์ได้ ดูข้อมูลเพิ่มเติม
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS): บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัส ที่จัดเก็บไว้ในระบบภายนอก
ผู้ให้บริการข้อมูลประจำตัว (IdP): บริการที่ตรวจสอบสิทธิ์ผู้ใช้ก่อนจะอนุญาตให้เข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัส

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK): คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์เบราว์เซอร์เพื่อเข้ารหัสข้อมูล ด้วยตัวเอง
คีย์การเข้ารหัสคีย์ (KEK): คีย์จากบริการของคุณที่ใช้เพื่อเข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL): รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้
JSON Web Token (JWT) สำหรับการตรวจสอบสิทธิ์: โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ด้านข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
JSON Web Token (JWT) ของการให้สิทธิ์: โทเค็น Bearer (JWT: RFC 7516) ที่ Google ออกให้เพื่อยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสหรือถอดรหัสทรัพยากร
ชุดคีย์เว็บ JSON (JWKS): URL ของปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้เพื่อยืนยัน JSON Web Token (JWT)
ขอบเขต: การตรวจสอบเพิ่มเติมที่ดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ ภายใน KACLS สำหรับการควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE สำหรับองค์กรแล้ว ผู้ใช้ที่เปิดใช้ CSE ให้จะเลือกสร้างเอกสารที่เข้ารหัสได้โดยใช้เครื่องมือสร้างเนื้อหาแบบทำงานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ที่อัปโหลดไปยัง Google ไดรฟ์ เช่น PDF

หลังจากที่ผู้ใช้เข้ารหัสเอกสารหรือไฟล์แล้ว

Google Workspace จะสร้าง DEK ในเบราว์เซอร์ของไคลเอ็นต์เพื่อเข้ารหัส เนื้อหา
Google Workspace จะส่ง DEK และโทเค็นการตรวจสอบสิทธิ์ไปยัง KACLS ของบุคคลที่สามเพื่อทำการเข้ารหัส โดยใช้ URL ที่คุณระบุให้กับผู้ดูแลระบบขององค์กร Google Workspace
KACLS จะใช้ API นี้เพื่อเข้ารหัส DEK จากนั้นจะส่ง DEK ที่เข้ารหัสและมีการปิดบังกลับไปยัง Google Workspace
Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสและทำให้สับสนไว้ในระบบคลาวด์ เฉพาะผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS เท่านั้นที่จะเข้าถึงข้อมูลได้

ดูรายละเอียดเพิ่มเติมได้ที่หัวข้อเข้ารหัสและถอดรหัสไฟล์

ขั้นตอนถัดไป

ดูวิธีกำหนดค่าบริการ
ดูวิธีเข้ารหัสและถอดรหัสข้อมูล