Mem-build layanan kunci enkripsi kustom untuk enkripsi sisi klien

Anda dapat menggunakan kunci enkripsi Anda sendiri untuk mengenkripsi data organisasi, bukan menggunakan enkripsi yang disediakan Google Workspace. Dengan Enkripsi Sisi Klien (CSE) Google Workspace, enkripsi file ditangani di browser klien sebelum disimpan di penyimpanan berbasis cloud Drive. Dengan demikian, server Google tidak dapat mengakses kunci enkripsi sehingga tidak dapat mendekripsi data Anda. Untuk mengetahui detail selengkapnya, lihat Tentang enkripsi sisi klien.

API ini memungkinkan Anda mengontrol kunci enkripsi level teratas yang melindungi data Anda dengan layanan kunci enkripsi eksternal kustom. Setelah Anda membuat layanan kunci enkripsi eksternal dengan API ini, administrator Google Workspace dapat terhubung ke layanan tersebut dan mengaktifkan CSE untuk pengguna mereka.

Terminologi penting

Berikut adalah daftar istilah umum yang digunakan dalam Google Workspace Client-side Encryption API:

Enkripsi sisi klien (CSE)
Enkripsi yang ditangani di browser klien sebelum disimpan di penyimpanan berbasis cloud. Tindakan ini melindungi file agar tidak dibaca oleh penyedia penyimpanan. Pelajari lebih lanjut
Layanan Daftar Kontrol Akses Kunci (KACLS)
Layanan kunci enkripsi eksternal Anda yang menggunakan API ini untuk mengontrol akses ke kunci enkripsi yang disimpan di sistem eksternal.
Penyedia Identitas (IdP)
Layanan yang mengautentikasi pengguna sebelum mereka dapat mengenkripsi file atau mengakses file terenkripsi.

Enkripsi & dekripsi

Kunci Enkripsi Data (DEK)
Kunci yang digunakan oleh Google Workspace di klien browser untuk mengenkripsi data itu sendiri.
Kunci Enkripsi Kunci (KEK)
Kunci dari layanan Anda yang digunakan untuk mengenkripsi Kunci Enkripsi Data (DEK).

Kontrol akses

Daftar Kontrol Akses (ACL)
Daftar pengguna atau grup yang dapat membuka atau membaca file.
Token Web JSON (JWT) Authentication
Token pembawa (JWT: RFC 7516) dikeluarkan oleh partner identitas (IdP) untuk mengesahkan identitas pengguna.
Token Web JSON (JWT) Otorisasi
Token pembawa (JWT: RFC 7516) dikeluarkan oleh Google untuk memverifikasi bahwa pemanggil diberi otorisasi untuk mengenkripsi atau mendekripsi resource.
Kumpulan Kunci Web JSON (JWKS)
URL endpoint hanya baca yang mengarah ke daftar kunci publik yang digunakan untuk memverifikasi Token Web JSON (JWT).
Keliling alas
Pemeriksaan tambahan dilakukan pada token autentikasi dan otorisasi dalam KACLS untuk kontrol akses.

Proses enkripsi sisi klien

Setelah administrator mengaktifkan CSE untuk organisasi mereka, pengguna yang CSE-nya diaktifkan dapat memilih untuk membuat dokumen terenkripsi menggunakan alat pembuat konten kolaboratif Google Workspace, seperti Dokumen dan Spreadsheet, atau mengenkripsi file yang mereka upload ke Google Drive, seperti PDF.

Setelah pengguna mengenkripsi dokumen atau file:

  1. Google Workspace membuat DEK di browser klien untuk mengenkripsi konten.

  2. Google Workspace mengirimkan DEK dan token autentikasi ke KACLS pihak ketiga Anda untuk dienkripsi, menggunakan URL yang Anda berikan kepada administrator organisasi Google Workspace.

  3. KACLS Anda menggunakan API ini untuk mengenkripsi DEK, lalu mengirimkan DEK yang dienkripsi dan di-obfuscate kembali ke Google Workspace.

  4. Google Workspace menyimpan data terenkripsi yang di-obfuscate di cloud. Hanya pengguna yang memiliki akses ke KACLS yang dapat mengakses data.

Untuk mengetahui detail selengkapnya, lihat Mengenkripsi dan mendekripsi file.

Langkah berikutnya