یک سرویس کلید سفارشی برای رمزگذاری سمت مشتری بسازید

می توانید به جای استفاده از رمزگذاری که Google Workspace ارائه می دهد، از کلیدهای رمزگذاری خود برای رمزگذاری داده های سازمان خود استفاده کنید. با Google Workspace Client-side Encryption (CSE)، رمزگذاری فایل قبل از ذخیره در فضای ذخیره‌سازی ابری Drive در مرورگر مشتری انجام می‌شود. به این ترتیب، سرورهای Google نمی توانند به کلیدهای رمزگذاری شما دسترسی داشته باشند و بنابراین، نمی توانند داده های شما را رمزگشایی کنند. برای جزئیات بیشتر، درباره رمزگذاری سمت سرویس گیرنده مراجعه کنید.

این API به شما امکان می دهد کلیدهای رمزگذاری سطح بالایی را کنترل کنید که از داده های شما با یک سرویس کلید خارجی سفارشی محافظت می کنند. پس از ایجاد یک سرویس کلید خارجی با این API، مدیران Google Workspace می توانند به آن متصل شده و CSE را برای کاربران خود فعال کنند.

اصطلاحات مهم

در زیر فهرستی از اصطلاحات رایج مورد استفاده در Google Workspace Client-side Encryption API آمده است:

رمزگذاری سمت مشتری (CSE)

رمزگذاری که قبل از ذخیره در فضای ذخیره‌سازی ابری در مرورگر مشتری انجام می‌شود. این کار از خواندن فایل توسط ارائه دهنده ذخیره سازی محافظت می کند. بیشتر بدانید

سرویس فهرست کنترل دسترسی کلید (KACLS)

سرویس کلید خارجی شما که از این API برای کنترل دسترسی به کلیدهای رمزگذاری ذخیره شده در یک سیستم خارجی استفاده می کند.

ارائه دهنده هویت (IdP)

سرویسی که کاربران را قبل از رمزگذاری فایل ها یا دسترسی به فایل های رمزگذاری شده احراز هویت می کند.

رمزگذاری و رمزگشایی

کلید رمزگذاری داده ها (DEK)

کلیدی که Google Workspace در سرویس گیرنده مرورگر برای رمزگذاری خود داده ها استفاده می کند.

کلید رمزگذاری کلید (KEK)

کلیدی از سرویس شما که برای رمزگذاری کلید رمزگذاری داده (DEK) استفاده می‌شود.

کنترل دسترسی

لیست کنترل دسترسی (ACL)

فهرستی از کاربران یا گروه هایی که می توانند فایلی را باز یا بخوانند.

احراز هویت JSON Web Token (JWT)

توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر شده است.

مجوز JSON Web Token (JWT)

توکن حامل ( JWT: RFC 7516 ) توسط Google برای تأیید اینکه تماس‌گیرنده مجاز به رمزگذاری یا رمزگشایی یک منبع است صادر شده است.

مجموعه کلیدهای وب JSON (JWKS)

یک نشانی وب نقطه پایانی فقط خواندنی که به فهرستی از کلیدهای عمومی استفاده شده برای تأیید توکن های وب JSON (JWT) اشاره می کند.

محیط

بررسی‌های اضافی روی توکن‌های احراز هویت و مجوز در KACLS برای کنترل دسترسی انجام می‌شود.

فرآیند رمزگذاری سمت مشتری

پس از اینکه یک سرپرست CSE را برای سازمان خود فعال کرد، کاربرانی که CSE برای آنها فعال است می‌توانند با استفاده از ابزارهای ایجاد محتوای مشارکتی Google Workspace، مانند Docs و Sheets، اسناد رمزگذاری شده ایجاد کنند یا فایل‌هایی را که در Google Drive آپلود می‌کنند، مانند PDF، رمزگذاری کنند.

پس از اینکه کاربر یک سند یا فایل را رمزگذاری کرد:

1. Google Workspace یک DEK در مرورگر مشتری ایجاد می کند تا محتوا را رمزگذاری کند.

2. Google Workspace با استفاده از نشانی اینترنتی که به سرپرست سازمان Google Workspace ارائه می‌دهید، DEK و نشانه‌های احراز هویت را برای رمزگذاری به KACLS شخص ثالث شما ارسال می‌کند.

3. KACLS شما از این API برای رمزگذاری DEK استفاده می کند، سپس DEK مبهم و رمزگذاری شده را به Google Workspace می فرستد.

4. Google Workspace داده های مبهم و رمزگذاری شده را در فضای ابری ذخیره می کند. فقط کاربرانی که به KACLS شما دسترسی دارند می توانند به داده ها دسترسی داشته باشند.

برای جزئیات بیشتر، به رمزگذاری و رمزگشایی فایل‌ها مراجعه کنید.

مراحل بعدی

• نحوه پیکربندی سرویس خود را بیاموزید.
• نحوه رمزگذاری و رمزگشایی داده ها را بیاموزید.