Créer un service de clés personnalisé pour le chiffrement côté client

Vous pouvez utiliser vos propres clés de chiffrement pour chiffrer les données, au lieu d'utiliser le chiffrement fourni par Google Workspace. Avec le chiffrement côté client (CSE, Client-Side Encryption) Google Workspace, le chiffrement des fichiers est géré le navigateur de votre client avant qu'elles ne soient stockées dans l'espace de stockage cloud de Drive. De cette façon, Les serveurs Google ne peuvent pas accéder à vos clés de chiffrement et, par conséquent, ne peuvent pas déchiffrer vos données. Pour en savoir plus, consultez À propos du chiffrement côté client

Cette API vous permet de contrôler les clés de chiffrement de premier niveau qui protègent vos données à l'aide d'un service de clés externe personnalisé. Après avoir créé un service de clés externe grâce à cette API, les administrateurs Google Workspace peuvent s'y connecter et activer le CSE pour leurs utilisateurs.

Terminologie importante

Vous trouverez ci-dessous une liste de termes couramment utilisés dans l'API Google Workspace Client-side Encryption:

Chiffrement côté client (CSE)
Chiffrement géré dans le navigateur du client avant d'être stocké dans le stockage dans le cloud. Cela empêche le stockage de lire le fichier. d'un fournisseur de services agréé. En savoir plus
Service de listes de contrôle d'accès aux clés (KACLS)
Votre service de clés externe qui utilise cette API pour contrôler l'accès au chiffrement de clés stockées dans un système externe.
Fournisseur d'identité (IdP)
Service qui authentifie les utilisateurs avant qu'ils ne puissent chiffrer des fichiers ou y accéder des fichiers chiffrés.

Chiffrement et déchiffrement

Clé de chiffrement des données (DEK)
Clé utilisée par Google Workspace dans le client de navigateur pour chiffrer les données lui-même.
Clé de chiffrement de clé (KEK)
Clé de votre service utilisée pour chiffrer une clé de chiffrement des données (DEK).

Contrôle des accès

Liste de contrôle d'accès (LCA)
Liste d'utilisateurs ou de groupes autorisés à ouvrir ou à lire un fichier.
Jeton Web JSON (JWT) d'authentification
Jeton de support (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
Jeton Web JSON d'autorisation (JWT)
Jeton de support (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.
Ensemble de clés Web JSON (JWKS)
URL de point de terminaison en lecture seule, qui renvoie vers une liste de clés publiques utilisées pour la validation Jetons Web JSON (JWT).
Périmètre
Vérifications supplémentaires effectuées sur les jetons d'authentification et d'autorisation au sein de la KACLS pour le contrôle des accès.

Processus de chiffrement côté client

Une fois qu'un administrateur a activé le CSE pour son organisation, les utilisateurs pour qui ce CSE est peuvent choisir de créer des documents chiffrés à l'aide de l'API outils collaboratifs de création de contenu, comme Docs et Sheets, ou chiffrer des fichiers qu'ils importent dans Google Drive, comme des PDF.

Une fois que l'utilisateur a chiffré un document ou un fichier:

  1. Google Workspace génère une clé DEK dans le navigateur client pour chiffrer le contenus.

  2. Google Workspace envoie la clé DEK et les jetons d'authentification à votre environnement tiers. les clés KACLS pour le chiffrement, à l'aide d'une URL que vous fournissez au administrateur de l'organisation Google Workspace.

  3. Votre KACLS utilise cette API pour chiffrer la DEK, puis envoie la clé obscurcie, des clés DEK chiffrées à Google Workspace.

  4. Google Workspace stocke les données obscurcies et chiffrées dans le cloud. Seuls les utilisateurs ayant accès à votre liste KACLS peuvent accéder aux données.

Pour en savoir plus, consultez Chiffrer et déchiffrer des fichiers.

Étapes suivantes