İstemci tarafı şifreleme için özel anahtar hizmeti oluşturma

Kuruluşunuzun verilerini şifrelemek için Google Workspace tarafından sağlanan şifrelemeyi kullanmak yerine kendi şifreleme anahtarlarınızı kullanabilirsiniz. Google Workspace istemci tarafı şifreleme (CSE) ile dosya şifreleme işlemi, Drive'ın bulut tabanlı depolama alanında depolanmadan önce istemcinin tarayıcısında gerçekleştirilir. Bu şekilde, Google sunucuları şifreleme anahtarlarınıza erişemez ve bu nedenle verilerinizin şifresini çözemez. Daha fazla bilgi için İstemci tarafı şifreleme hakkında başlıklı makaleye bakın.

Bu API, verilerinizi koruyan üst düzey şifreleme anahtarlarını özel bir harici anahtar hizmetiyle kontrol etmenize olanak tanır. Bu API ile harici bir anahtar hizmeti oluşturduktan sonra Google Workspace yöneticileri bu hizmete bağlanabilir ve kullanıcıları için İTŞ'yi etkinleştirebilir.

Önemli terminoloji

Google Workspace Client-side Encryption API'de kullanılan yaygın terimlerin listesini aşağıda bulabilirsiniz:

İstemci tarafı şifreleme (İTŞ)

Bulut tabanlı depolama alanında depolanmadan önce istemcinin tarayıcısında gerçekleştirilen şifreleme. Bu işlem, dosyanın depolama sağlayıcı tarafından okunmasını engeller. Daha fazla bilgi

Key Access Control List Service (KACLS)

Harici bir sistemde depolanan şifreleme anahtarlarına erişimi kontrol etmek için bu API'yi kullanan harici anahtar hizmetiniz.

Kimlik Sağlayıcı (IdP)

Kullanıcılar dosyaları şifrelemeden veya şifrelenmiş dosyalara erişmeden önce kimliklerini doğrulayan hizmet.

Şifreleme ve şifre çözme

Veri Şifreleme Anahtarı (DEK)

Google Workspace'in tarayıcı istemcisinde verileri şifrelemek için kullandığı anahtar.

Anahtar Şifreleme Anahtarı (KEK)

Veri şifreleme anahtarını (DEK) şifrelemek için hizmetinizden alınan bir anahtar.

Erişim denetimi

Erişim Kontrol Listesi (EKL)

Bir dosyayı açabilen veya okuyabilen kullanıcıların ya da grupların listesi.

Kimlik doğrulama JSON Web Token'ı (JWT)

Kimlik iş ortağı (IdP) tarafından kullanıcının kimliğini onaylamak için verilen taşıyıcı jeton (JWT: RFC 7516).

Yetkilendirme JSON Web Token'ı (JWT)

İstekte bulunanın bir kaynağı şifreleme veya şifresini çözme yetkisine sahip olduğunu doğrulamak için Google tarafından verilen

taşıyıcı jeton (JWT: RFC 7516).

JSON Web Anahtarı Kümesi (JWKS)

JSON Web Jetonlarını (JWT) doğrulamak için kullanılan ortak anahtarların listesini gösteren salt okunur bir uç nokta URL'si.

Perimeter

Erişim kontrolü için KACLS'de kimlik doğrulama ve yetkilendirme jetonları üzerinde ek kontroller gerçekleştirilir.

İstemci tarafı şifreleme süreci

Bir yönetici kuruluşunda İTŞ'yi etkinleştirdikten sonra, İTŞ'nin etkinleştirildiği kullanıcılar Google Workspace'in ortak içerik oluşturma araçlarını (ör. Dokümanlar ve E-Tablolar) kullanarak şifrelenmiş dokümanlar oluşturmayı veya Google Drive'a yükledikleri dosyaları (ör. PDF) şifrelemeyi tercih edebilir.

Kullanıcı bir dokümanı veya dosyayı şifreledikten sonra:

1. Google Workspace, içeriği şifrelemek için istemci tarayıcısında bir DEK oluşturur.

2. Google Workspace, Google Workspace kuruluşunun yöneticisine sağladığınız bir URL'yi kullanarak şifreleme için DEK'yi ve kimlik doğrulama jetonlarını üçüncü taraf KACLS'nize gönderir.

3. KACLS'niz, DEK'yi şifrelemek için bu API'yi kullanır, ardından karartılmış ve şifrelenmiş DEK'yi Google Workspace'e geri gönderir.

4. Google Workspace, karartılmış ve şifrelenmiş verileri bulutta depolar. Yalnızca KACLS'nize erişimi olan kullanıcılar verilere erişebilir.

Daha fazla bilgi için Dosyaları şifreleme ve dosyaların şifresini çözme başlıklı makaleye bakın.

Sonraki adımlar

• Hizmetinizi nasıl yapılandıracağınızı öğrenin.
• Verileri nasıl şifreleyeceğinizi ve şifrelerini çözeceğinizi öğrenin.