Puedes usar tus propias claves para encriptar los datos de tu organización. en lugar de usar la encriptación que proporciona Google Workspace. Con la encriptación del cliente (CSE) de Google Workspace, la encriptación de archivos se maneja en el navegador del cliente antes de que se almacene en el almacenamiento basado en la nube de Drive. De esa manera, Los servidores de Google no pueden acceder a tus claves de encriptación y, por lo tanto, no pueden desencriptar tus datos. Para obtener más detalles, consulta Acerca de la encriptación del cliente.
Esta API te permite controlar las claves de encriptación de nivel superior que protegen tus datos con un servicio de claves externo personalizado. Después de crear un servicio de claves externo con esta API, los administradores de Google Workspace pueden conectarse a ella y habilitar la CSE para sus usuarios.
Terminología importante
Esta es una lista de términos comunes usados en la API de encriptación del cliente de Google Workspace:
- Encriptación del cliente (CSE)
- La encriptación que se maneja en el navegador del cliente antes de almacenarse en y almacenamiento basado en la nube. Esto evita que el almacenamiento pueda leer el archivo. proveedor. Más información
- Servicio de lista de control de acceso de claves (KACLS)
- Tu servicio de claves externo que usa esta API para controlar el acceso a la encriptación las claves almacenadas en un sistema externo.
- Proveedor de identidad (IdP)
- El servicio que autentica a los usuarios antes de que puedan encriptar archivos o acceder archivos encriptados.
Encriptación y desencriptación
- Clave de encriptación de datos (DEK)
- La clave que usa Google Workspace en el cliente de navegador para encriptar los datos a sí mismo.
- Clave de encriptación de claves (KEK)
- Es una clave de tu servicio que se usa para encriptar una clave de encriptación de datos (DEK).
Control de acceso
- Lista de control de acceso (LCA)
- Una lista de usuarios o grupos que pueden abrir o leer un archivo.
- Token web JSON (JWT) de autenticación
- Token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.
- Token web JSON (JWT) de autorización
- Token del portador (JWT: RFC 7516) emitidos por Google para verificar que el emisor esté autorizado para encriptar o desencriptar un recurso.
- Conjunto de claves web JSON (JWKS)
- Una URL de extremo de solo lectura que dirige a una lista de claves públicas que se usan para verificar Tokens web JSON (JWT).
- Perímetro
- Comprobaciones adicionales de los tokens de autenticación y autorización en el KACLS para el control de acceso.
Proceso de encriptación del cliente
Después de que un administrador habilita la CSE en su organización, los usuarios para los que está pueden optar por crear documentos encriptados con el rol de herramientas de creación de contenido colaborativo, como Documentos y Hojas de cálculo, o encripta archivos que suben a Google Drive, como archivos PDF.
Después de que el usuario encripta un documento o archivo:
Google Workspace genera una DEK en el navegador del cliente para encriptar el contenido.
Google Workspace envía la DEK y los tokens de autenticación a tu red de KACLS para la encriptación, con una URL que proporciones al Administrador de la organización de Google Workspace.
Tu KACLS usa esta API para encriptar la DEK; luego, envía la API ofuscada y la DEK encriptada vuelve a Google Workspace.
Google Workspace almacena los datos ofuscados y encriptados en la nube. Solo los usuarios con acceso a tu KACLS pueden acceder a los datos.
Para obtener más información, consulta Encripta y desencripta archivos.
Próximos pasos
- Obtén más información para configurar tu servicio.
- Obtén información sobre cómo encriptar y desencriptar datos