建構用於用戶端加密的自訂金鑰服務

您可以使用自己的加密金鑰來加密貴機構的資料，而非使用 Google Workspace 提供的加密功能。如果使用 Google Workspace 用戶端加密 (CSE) 功能，系統會先在用戶端的瀏覽器中加密檔案，再將檔案儲存在雲端硬碟的雲端儲存空間。這麼一來，Google 伺服器就無法存取您的加密金鑰，也無法解密資料。詳情請參閱「關於用戶端加密」。

透過這項 API，您可以透過自訂外部金鑰服務，控管用於保護資料的頂層加密金鑰。使用這個 API 建立外部金鑰服務後，Google Workspace 管理員就能連線至該服務，並為使用者啟用 CSE。

重要術語

以下列出 Google Workspace Client-side Encryption API 的常用字詞：

用戶端加密 (CSE)

系統會先在用戶端瀏覽器中加密郵件，再將郵件儲存在雲端儲存空間。這可防止儲存空間供應商讀取檔案。瞭解詳情

金鑰存取控管清單服務 (KACLS)

您的外部金鑰服務會使用這個 API，控管外部系統中儲存的加密金鑰存取權。

識別資訊提供者 (IdP)

這項服務會先驗證使用者，接著使用者才能為檔案加密，或是存取已加密的檔案。

加密與解密

資料加密金鑰 (DEK)

Google Workspace 在瀏覽器用戶端中使用的金鑰，可加密資料本身。

金鑰加密金鑰 (KEK)

服務中的金鑰，用來加密資料加密金鑰 (DEK)。

存取權控管

存取控制清單 (ACL)

可開啟或讀取檔案的使用者或群組清單。

驗證 JSON Web Token (JWT)

不記名權杖 (JWT：RFC 7516)：由身分合作夥伴 (IdP) 發行，用於驗證使用者身分。

授權 JSON Web Token (JWT)

不記名權杖 (JWT：RFC 7516) 由 Google 發行，用於驗證呼叫者是否有權加密或解密資源。

JSON Web Key Set (JWKS)

唯讀端點網址，指向用於驗證 JSON Web Token (JWT) 的公開金鑰清單。

Perimeter

在 KACLS 中對驗證和授權權杖執行額外檢查，以進行存取權控管。

用戶端加密程序

管理員為機構啟用 CSE 後，只要使用者也啟用 CSE，就能選擇使用 Google Workspace 協作內容建立工具 (例如文件和試算表) 建立加密文件，或是將上傳到 Google 雲端硬碟的檔案 (例如 PDF) 加密。

使用者加密文件或檔案後：

1. Google Workspace 會在用戶端瀏覽器中產生 DEK，用於加密內容。

2. Google Workspace 會使用您提供給 Google Workspace 機構管理員的網址，將 DEK 和驗證權杖傳送至第三方 KACLS 進行加密。

3. 您的 KACLS 會使用這個 API 加密 DEK，然後將經過混淆處理的加密 DEK 傳回 Google Workspace。

4. Google Workspace 會將經過模糊處理的加密資料儲存在雲端。 只有有權存取 KACLS 的使用者才能存取資料。

詳情請參閱「加密及解密檔案」。

後續步驟

• 瞭解如何設定服務。
• 瞭解如何加密及解密資料。