Crea un servizio chiavi personalizzato per la crittografia lato client

Puoi utilizzare le tue chiavi di crittografia per criptare i dati della tua organizzazione, anziché utilizzare la crittografia fornita da Google Workspace. Con la crittografia lato client di Google Workspace, la crittografia dei file viene gestita nel browser del client prima che i file vengano archiviati nello spazio di archiviazione basato su cloud di Drive. In questo modo, i server di Google non potranno accedere alle tue chiavi di crittografia e, di conseguenza, non potranno decriptare i tuoi dati. Per maggiori dettagli, consulta Informazioni sulla crittografia lato client.

Questa API ti consente di controllare le chiavi di crittografia di primo livello che proteggono i tuoi dati con un servizio chiavi esterno personalizzato. Dopo aver creato un servizio chiavi esterno con questa API, gli amministratori di Google Workspace possono connettersi e attivare la crittografia lato client per i propri utenti.

Terminologia importante

Di seguito è riportato un elenco di termini comuni utilizzati nell'API Client-Side Encryption di Google Workspace:

Crittografia lato client
Crittografia gestita nel browser del client prima che i dati vengano archiviati nello spazio di archiviazione basato su cloud. In questo modo il file non può essere letto dal fornitore di servizi di archiviazione. Scopri di più
Key Access Control List Service (KACLS)
Il tuo servizio chiavi esterno che utilizza questa API per controllare l'accesso alle chiavi di crittografia memorizzate in un sistema esterno.
Provider di identità (IdP)
Il servizio che autentica gli utenti prima che possano criptare file o accedere a file criptati.

Crittografia e decrittografia

Chiave di crittografia dei dati (DEK)
La chiave utilizzata da Google Workspace nel client del browser per criptare i dati stessi.
Chiave di crittografia della chiave (KEK)
Una chiave del tuo servizio utilizzata per criptare una chiave di crittografia dei dati (DEK).

Controllo degli accessi

Elenco di controllo dell'accesso (ACL)
Un elenco di utenti o gruppi che possono aprire o leggere un file.
JSON Web Token (JWT) di autenticazione
Token bearer (JWT: RFC 7516) emesso dal partner di identità (IdP) per attestare l'identità di un utente.
JSON Web Token (JWT) di autorizzazione
Token bearer (JWT: RFC 7516) rilasciato da Google per verificare che il chiamante sia autorizzato a criptare o decriptare una risorsa.
Set di chiavi web JSON (JWKS)
Un URL endpoint di sola lettura che rimanda a un elenco di chiavi pubbliche utilizzate per verificare i token web JSON (JWT).
Perimetro
Controlli aggiuntivi eseguiti sui token di autenticazione e autorizzazione all'interno dei KACLS per il controllo dell'accesso.

Procedura di crittografia lato client

Dopo che un amministratore ha attivato la crittografia lato client per la propria organizzazione, gli utenti per i quali è attivata possono scegliere di creare documenti criptati utilizzando gli strumenti di creazione di contenuti collaborativi di Google Workspace, come Documenti e Fogli, oppure criptare i file caricati su Google Drive, ad esempio i PDF.

Dopo che l'utente ha criptato un documento o un file:

  1. Google Workspace genera una DEK nel browser del client per criptare i contenuti.

  2. Google Workspace invia la DEK e i token di autenticazione ai tuoi KACLS di terze parti per la crittografia utilizzando un URL fornito all'amministratore dell'organizzazione Google Workspace.

  3. Il tuo KACLS utilizza questa API per criptare la DEK, quindi restituisce la DEK criptata e offuscata a Google Workspace.

  4. Google Workspace archivia i dati offuscati e criptati nel cloud. Solo gli utenti con accesso ai tuoi KACLS possono accedere ai dati.

Per maggiori dettagli, vedi Criptare e decriptare i file.

Passaggi successivi