Создайте собственный сервис ключей для шифрования на стороне клиента.

Вы можете использовать собственные ключи шифрования для шифрования данных вашей организации вместо шифрования, предоставляемого Google Workspace. Благодаря шифрованию на стороне клиента Google Workspace (CSE) шифрование файлов выполняется в браузере клиента, прежде чем они сохраняются в облачном хранилище Диска. Таким образом, серверы Google не смогут получить доступ к вашим ключам шифрования и, следовательно, не смогут расшифровать ваши данные. Дополнительные сведения см. в разделе О шифровании на стороне клиента .

Этот API позволяет вам управлять ключами шифрования верхнего уровня, которые защищают ваши данные с помощью специального внешнего сервиса ключей. После того как вы создадите внешний сервис ключей с помощью этого API, администраторы Google Workspace смогут подключиться к нему и включить CSE для своих пользователей.

Важная терминология

Ниже приведен список общих терминов, используемых в API шифрования на стороне клиента Google Workspace:

Шифрование на стороне клиента (CSE)
Шифрование, которое обрабатывается в браузере клиента перед сохранением в облачном хранилище. Это защищает файл от чтения поставщиком хранилища. Узнать больше
Служба списков контроля доступа к ключам (KACLS)
Ваша внешняя служба ключей, которая использует этот API для управления доступом к ключам шифрования, хранящимся во внешней системе.
Поставщик удостоверений (IdP)
Служба, которая аутентифицирует пользователей, прежде чем они смогут зашифровать файлы или получить доступ к зашифрованным файлам.

Шифрование и дешифрование

Ключ шифрования данных (DEK)
Ключ, используемый Google Workspace в клиенте браузера для шифрования самих данных.
Ключ шифрования (KEK)
Ключ вашего сервиса, используемый для шифрования ключа шифрования данных (DEK).

Контроль доступа

Список контроля доступа (ACL)
Список пользователей или групп, которые могут открывать или читать файл.
Веб-токен аутентификации JSON (JWT)
Токен носителя ( JWT: RFC 7516 ), выданный партнером по идентификации (IdP) для подтверждения личности пользователя.
Веб-токен авторизации JSON (JWT)
Токен носителя ( JWT: RFC 7516 ), выданный Google для проверки того, что вызывающая сторона имеет право шифровать или дешифровать ресурс.
Набор веб-ключей JSON (JWKS)
URL-адрес конечной точки, доступный только для чтения, который указывает на список открытых ключей, используемых для проверки веб-токенов JSON (JWT).
Периметр
Дополнительные проверки, выполняемые на токенах аутентификации и авторизации в KACLS для контроля доступа.

Процесс шифрования на стороне клиента

После того как администратор включит CSE для своей организации, пользователи, для которых включен CSE, смогут создавать зашифрованные документы с помощью инструментов для совместного создания контента Google Workspace, таких как Документы и Таблицы, или шифровать файлы, которые они загружают на Google Диск, например PDF-файлы.

После того как пользователь зашифрует документ или файл:

  1. Google Workspace генерирует DEK в клиентском браузере для шифрования контента.

  2. Google Workspace отправляет DEK и токены аутентификации на ваш сторонний KACLS для шифрования, используя URL-адрес, который вы предоставляете администратору организации Google Workspace.

  3. Ваш KACLS использует этот API для шифрования DEK, а затем отправляет запутанный зашифрованный DEK обратно в Google Workspace.

  4. Google Workspace хранит запутанные зашифрованные данные в облаке. Только пользователи, имеющие доступ к вашему KACLS, могут получить доступ к данным.

Дополнительные сведения см. в разделе Шифрование и расшифровка файлов .

Следующие шаги