สร้างบริการจัดการคีย์ที่กําหนดเองสําหรับการเข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนที่จะใช้การเข้ารหัสที่ Google Workspace มีให้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไฟล์ดังกล่าวในพื้นที่เก็บข้อมูลระบบคลาวด์ของไดรฟ์ ซึ่งการดำเนินการนี้จะทำให้เซิร์ฟเวอร์ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัสและถอดรหัสข้อมูลของคุณ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณได้ด้วยบริการจัดการคีย์ภายนอกที่กําหนดเอง หลังจากสร้างบริการจัดการคีย์ภายนอกด้วย API นี้แล้ว ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อและเปิดใช้ CSE ให้กับผู้ใช้ได้

คําศัพท์สําคัญ

ด้านล่างนี้คือรายการคําศัพท์ทั่วไปที่ใช้ใน API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
การเข้ารหัสที่จัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บในพื้นที่เก็บข้อมูลระบบคลาวด์ ซึ่งจะช่วยป้องกันไม่ให้ผู้ให้บริการพื้นที่เก็บข้อมูลอ่านไฟล์ได้ ดูข้อมูลเพิ่มเติม
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)
บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสที่จัดเก็บไว้ในระบบภายนอก
ผู้ให้บริการข้อมูลประจำตัว (IdP)
บริการที่ตรวจสอบสิทธิ์ผู้ใช้ก่อนจะอนุญาตให้เข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัส

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)
คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์เบราว์เซอร์เพื่อเข้ารหัสข้อมูล
คีย์การเข้ารหัสคีย์ (KEK)
คีย์จากบริการของคุณที่ใช้เพื่อเข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)
รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้
การตรวจสอบสิทธิ์ด้วย JSON Web Token (JWT)
โทเค็น Bearer (JWT: RFC 7516) ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
โทเค็นเว็บ JSON สำหรับการให้สิทธิ์ (JWT)
โทเค็น Bearer (JWT: RFC 7516) ที่ Google ออกให้เพื่อยืนยันว่าผู้เรียกได้รับอนุญาตให้เข้ารหัสหรือถอดรหัสทรัพยากร
ชุดคีย์เว็บ JSON (JWKS)
URL ปลายทางแบบอ่านอย่างเดียวซึ่งชี้ไปยังรายการคีย์สาธารณะที่ใช้เพื่อยืนยัน JSON Web Token (JWT)
ขอบเขต
การตรวจสอบเพิ่มเติมที่ดำเนินการกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS สำหรับการควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากผู้ดูแลระบบเปิดใช้ CSE ให้กับองค์กรแล้ว ผู้ใช้ที่เปิดใช้ CSE ไว้จะเลือกสร้างเอกสารที่เข้ารหัสได้โดยใช้เครื่องมือสร้างเนื้อหาแบบทำงานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ที่อัปโหลดไปยัง Google ไดรฟ์ เช่น PDF

สิ่งที่จะเกิดขึ้นหลังจากที่ผู้ใช้เข้ารหัสเอกสารหรือไฟล์

  1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ไคลเอ็นต์เพื่อเข้ารหัสเนื้อหา

  2. Google Workspace จะส่ง DEK และโทเค็นการตรวจสอบสิทธิ์ไปยัง KACLS ของบุคคลที่สามเพื่อเข้ารหัส โดยใช้ URL ที่คุณให้ไว้กับผู้ดูแลระบบขององค์กร Google Workspace

  3. KACLS จะใช้ API นี้เพื่อเข้ารหัส DEK จากนั้นส่ง DEK ที่เข้ารหัสและสร้างความสับสนกลับไปยัง Google Workspace

  4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสและสร้างความสับสนไว้ในระบบคลาวด์ เฉพาะผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS เท่านั้นที่จะเข้าถึงข้อมูลได้

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเข้ารหัสและถอดรหัสไฟล์

ขั้นตอนถัดไป