Anda dapat menggunakan kunci enkripsi Anda sendiri untuk mengenkripsi data organisasi, bukan menggunakan enkripsi yang disediakan Google Workspace. Dengan Enkripsi Sisi Klien (CSE) Google Workspace, enkripsi file ditangani di browser klien sebelum disimpan di penyimpanan berbasis cloud Drive. Dengan demikian, server Google tidak dapat mengakses kunci enkripsi Anda, sehingga tidak dapat mendekripsi data Anda. Untuk mengetahui detail selengkapnya, lihat Tentang enkripsi sisi klien.
API ini memungkinkan Anda mengontrol kunci enkripsi tingkat atas yang melindungi data Anda dengan layanan kunci enkripsi eksternal kustom. Setelah Anda membuat layanan kunci enkripsi eksternal dengan API ini, administrator Google Workspace dapat terhubung ke layanan tersebut dan mengaktifkan CSE untuk pengguna mereka.
Terminologi penting
Berikut adalah daftar istilah umum yang digunakan di Client-side Encryption API Google Workspace:
- Enkripsi sisi klien (CSE)
- Enkripsi yang ditangani di browser klien sebelum disimpan di penyimpanan berbasis cloud. Tindakan ini melindungi file agar tidak dibaca oleh penyedia penyimpanan. Pelajari lebih lanjut
- Key Access Control List Service (KACLS)
- Layanan kunci enkripsi eksternal Anda yang menggunakan API ini untuk mengontrol akses ke kunci enkripsi yang disimpan di sistem eksternal.
- Penyedia Identitas (IdP)
- Layanan yang mengautentikasi pengguna sebelum mereka dapat mengenkripsi file atau mengakses file terenkripsi.
Enkripsi & dekripsi
- Kunci Enkripsi Data (DEK)
- Kunci yang digunakan oleh Google Workspace di klien browser untuk mengenkripsi data itu sendiri.
- Kunci Enkripsi Kunci (KEK)
- Kunci dari layanan Anda yang digunakan untuk mengenkripsi Kunci Enkripsi Data (DEK).
Kontrol akses
- Daftar Kontrol Akses (ACL)
- Daftar pengguna atau grup yang dapat membuka atau membaca file.
- Token Web JSON (JWT) Autentikasi
- Token pembawa (JWT: RFC 7516) yang diterbitkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.
- Token Web JSON (JWT) Otorisasi
- Token pembawa (JWT: RFC 7516) yang diterbitkan oleh Google untuk memverifikasi bahwa pemanggil diberi otorisasi untuk mengenkripsi atau mendekripsi resource.
- JSON Web Key Set (JWKS)
- URL endpoint hanya baca yang mengarah ke daftar kunci publik yang digunakan untuk memverifikasi Token Web JSON (JWT).
- Perimeter
- Pemeriksaan tambahan yang dilakukan pada token autentikasi dan otorisasi dalam KACLS untuk kontrol akses.
Proses enkripsi sisi klien
Setelah administrator mengaktifkan CSE untuk organisasinya, pengguna yang CSE-nya diaktifkan dapat memilih untuk membuat dokumen terenkripsi menggunakan alat pembuatan konten collaboratif Google Workspace, seperti Dokumen dan Spreadsheet, atau mengenkripsi file yang mereka upload ke Google Drive, seperti PDF.
Setelah pengguna mengenkripsi dokumen atau file:
Google Workspace membuat DEK di browser klien untuk mengenkripsi konten.
Google Workspace mengirimkan DEK dan token autentikasi ke KACLS pihak ketiga Anda untuk enkripsi, menggunakan URL yang Anda berikan kepada administrator organisasi Google Workspace.
KACLS Anda menggunakan API ini untuk mengenkripsi DEK, lalu mengirim DEK yang dienkripsi dan di-obfuscate kembali ke Google Workspace.
Google Workspace menyimpan data terenkripsi yang di-obfuscate di cloud. Hanya pengguna yang memiliki akses ke KACLS Anda yang dapat mengakses data.
Untuk mengetahui detail selengkapnya, lihat Mengenkripsi dan mendekripsi file.
Langkah berikutnya
- Pelajari cara mengonfigurasi layanan Anda.
- Pelajari cara mengenkripsi & mendekripsi data.