Xây dựng dịch vụ mã khoá tuỳ chỉnh để dùng tính năng mã hoá phía máy khách

Bạn có thể sử dụng khoá mã hoá của riêng mình để mã hoá dữ liệu của tổ chức, thay vì sử dụng phương thức mã hoá do Google Workspace cung cấp. Với tính năng Mã hoá phía máy khách (CSE) của Google Workspace, quá trình mã hoá tệp được xử lý trong trình duyệt của máy khách trước khi tệp được lưu trữ trong bộ nhớ trên đám mây của Drive. Nhờ đó, máy chủ của Google không thể truy cập vào khoá mã hoá của bạn và do đó, không thể giải mã dữ liệu của bạn. Để biết thêm chi tiết, hãy xem bài viết Giới thiệu về tính năng mã hoá phía máy khách.

API này cho phép bạn kiểm soát các khoá mã hoá cấp cao nhất giúp bảo vệ dữ liệu của bạn bằng một dịch vụ khoá bên ngoài tuỳ chỉnh. Sau khi bạn tạo một dịch vụ khoá bên ngoài bằng API này, quản trị viên Google Workspace có thể kết nối với dịch vụ đó và bật CSE cho người dùng của họ.

Thuật ngữ quan trọng

Dưới đây là danh sách các thuật ngữ phổ biến được dùng trong API Mã hoá phía máy khách của Google Workspace:

Tính năng mã hoá phía máy khách (CSE)
Quá trình mã hoá được xử lý trong trình duyệt của ứng dụng trước khi được lưu trữ trong bộ nhớ trên đám mây. Điều này giúp bảo vệ tệp khỏi bị trình cung cấp bộ nhớ đọc. Tìm hiểu thêm
Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS)
Dịch vụ khoá bên ngoài của bạn sử dụng API này để kiểm soát quyền truy cập vào các khoá mã hoá được lưu trữ trong một hệ thống bên ngoài.
Nhà cung cấp danh tính (IdP)
Dịch vụ xác thực người dùng trước khi họ có thể mã hoá tệp hoặc truy cập vào tệp đã mã hoá.

Mã hoá và giải mã

Khoá mã hoá dữ liệu (DEK)
Khoá mà Google Workspace sử dụng trong ứng dụng trình duyệt để tự mã hoá dữ liệu.
Khoá mã hoá khoá (KEK)
Một khoá từ dịch vụ của bạn dùng để mã hoá Khoá mã hoá dữ liệu (DEK).

Kiểm soát ra vào

Danh sách kiểm soát quyền truy cập (ACL)
Danh sách người dùng hoặc nhóm có thể mở hoặc đọc tệp.
Mã thông báo web JSON (JWT) xác thực
Mã thông báo xác thực (JWT: RFC 7516) do đối tác danh tính (IdP) phát hành để chứng thực danh tính của người dùng.
Mã thông báo web JSON (JWT) cho quyền truy cập
Mã thông báo xác thực (JWT: RFC 7516) do Google phát hành để xác minh rằng phương thức gọi được uỷ quyền mã hoá hoặc giải mã tài nguyên.
Bộ khoá web JSON (JWKS)
URL điểm cuối chỉ có thể đọc trỏ đến danh sách khoá công khai dùng để xác minh mã thông báo web JSON (JWT).
Chu vi
Các bước kiểm tra bổ sung được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS để kiểm soát quyền truy cập.

Quy trình mã hoá phía máy khách

Sau khi quản trị viên bật tính năng CSE cho tổ chức của họ, những người dùng được bật tính năng CSE có thể chọn tạo tài liệu đã mã hoá bằng các công cụ tạo nội dung cộng tác của Google Workspace, chẳng hạn như Tài liệu và Trang tính, hoặc mã hoá các tệp mà họ tải lên Google Drive, chẳng hạn như tệp PDF.

Sau khi người dùng mã hoá một tài liệu hoặc tệp:

  1. Google Workspace tạo một DEK trong trình duyệt của ứng dụng để mã hoá nội dung.

  2. Google Workspace gửi khoá gốc và mã thông báo xác thực đến KACLS bên thứ ba để mã hoá, bằng cách sử dụng URL mà bạn cung cấp cho quản trị viên của tổ chức Google Workspace.

  3. KACLS sử dụng API này để mã hoá DEK, sau đó gửi DEK đã làm rối mã hoá trở lại Google Workspace.

  4. Google Workspace lưu trữ dữ liệu đã làm rối mã nguồn và mã hoá trên đám mây. Chỉ những người dùng có quyền truy cập vào KACLS của bạn mới có thể truy cập vào dữ liệu.

Để biết thêm thông tin chi tiết, hãy xem phần Mã hoá và giải mã tệp.

Các bước tiếp theo