Xây dựng dịch vụ mã khoá tuỳ chỉnh để dùng tính năng mã hoá phía máy khách

Bạn có thể sử dụng khoá mã hoá của riêng mình để mã hoá dữ liệu của tổ chức thay vì sử dụng quy trình mã hoá do Google Workspace cung cấp. Với tính năng Mã hoá phía máy khách (CSE) của Google Workspace, quá trình mã hoá tệp được xử lý trong trình duyệt của máy khách trước khi được lưu trữ trong bộ nhớ trên đám mây của Google Drive. Nhờ đó, các máy chủ của Google không thể truy cập vào khoá mã hoá của bạn và do đó, không thể giải mã dữ liệu của bạn. Để biết thêm thông tin, hãy xem bài viết Giới thiệu về tính năng mã hoá phía máy khách.

API này cho phép bạn kiểm soát các khoá mã hoá cấp cao nhất giúp bảo vệ dữ liệu của bạn bằng một dịch vụ mã khoá bên ngoài tuỳ chỉnh. Sau khi bạn tạo một dịch vụ mã khoá bên ngoài bằng API này, Quản trị viên Google Workspace có thể kết nối với dịch vụ đó và bật tính năng Mã hoá phía máy khách (CSE) cho người dùng.

Thuật ngữ quan trọng

Dưới đây là danh sách các thuật ngữ phổ biến được dùng trong API Mã hoá phía máy khách của Google Workspace:

Tính năng mã hoá phía máy khách (CSE): Quy trình mã hoá được xử lý trong trình duyệt của máy khách trước khi được lưu trữ trong bộ nhớ trên đám mây. Điều này giúp bảo vệ tệp khỏi việc bị nhà cung cấp bộ nhớ đọc. Tìm hiểu thêm
Dịch vụ Danh sách kiểm soát quyền truy cập vào khoá (KACLS): Dịch vụ mã khoá bên ngoài của bạn sử dụng API này để kiểm soát quyền truy cập vào các khoá mã hoá được lưu trữ trong một hệ thống bên ngoài.
Nhà cung cấp danh tính (IdP): Dịch vụ xác thực người dùng trước khi họ có thể mã hoá tệp hoặc truy cập vào các tệp đã mã hoá.

Mã hoá và giải mã

Khoá mã hoá dữ liệu (DEK): Khoá được Google Workspace sử dụng trong ứng dụng trình duyệt để mã hoá chính dữ liệu.
Khoá mã hoá khoá (KEK): Một khoá từ dịch vụ của bạn dùng để mã hoá Khoá mã hoá dữ liệu (DEK).

Kiểm soát ra vào

Danh sách kiểm soát quyền truy cập (ACL): Danh sách người dùng hoặc nhóm có thể mở hoặc đọc một tệp.
Mã thông báo web JSON (JWT) xác thực: Mã thông báo truy cập (JWT: RFC 7519) do nhà cung cấp dịch vụ danh tính (IdP) cấp để chứng thực danh tính của người dùng.
Mã thông báo web JSON (JWT) uỷ quyền: Mã thông báo người mang (JWT: RFC 7519) do Google cấp để xác minh rằng người gọi được uỷ quyền mã hoá hoặc giải mã một tài nguyên.
Tập hợp khoá web JSON (JWKS): URL điểm cuối chỉ đọc trỏ đến danh sách các khoá công khai dùng để xác minh Mã thông báo web JSON (JWT).
Ranh giới: Các bước kiểm tra bổ sung được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS để kiểm soát quyền truy cập.

Quy trình mã hoá phía máy khách

Sau khi quản trị viên bật tính năng CSE cho tổ chức, những người dùng được bật tính năng CSE có thể chọn tạo tài liệu đã mã hoá bằng các công cụ tạo nội dung cộng tác của Google Workspace, chẳng hạn như Tài liệu và Trang tính, hoặc mã hoá các tệp mà họ tải lên Drive, chẳng hạn như tệp PDF.

Sau khi người dùng mã hoá một tài liệu hoặc tệp:

Google Workspace tạo một DEK trong trình duyệt của máy khách để mã hoá nội dung.
Google Workspace gửi DEK và mã thông báo xác thực đến KACLS của bên thứ ba để mã hoá, bằng một URL mà bạn cung cấp cho quản trị viên của tổ chức Google Workspace.
KACLS của bạn sử dụng API này để mã hoá DEK, sau đó gửi DEK đã mã hoá và làm xáo trộn trở lại Google Workspace.
Google Workspace lưu trữ dữ liệu đã mã hoá và làm xáo trộn trên đám mây. Chỉ những người dùng có quyền truy cập vào KACLS của bạn mới có thể truy cập vào dữ liệu.

Để biết thêm thông tin, hãy xem bài viết Mã hoá và giải mã tệp.

Các bước tiếp theo

Tìm hiểu cách định cấu hình dịch vụ.
Tìm hiểu cách mã hoá và giải mã dữ liệu.

Xây dựng dịch vụ mã khoá tuỳ chỉnh để dùng tính năng mã hoá phía máy khách Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.