您可以使用自己的加密金鑰來加密貴機構的資料,而非使用 Google Workspace 提供的加密功能。只要啟用 Google Workspace 用戶端加密 (CSE) 功能,系統會先在用戶端的瀏覽器中處理檔案加密作業,再將檔案儲存在雲端硬碟的雲端儲存空間。這麼一來,Google 伺服器就無法存取您的加密金鑰,也無法解密資料。詳情請參閱「關於用戶端加密」。
這個 API 可讓您透過自訂外部金鑰服務,控管用於保護資料的頂層加密金鑰。使用這個 API 建立外部金鑰服務後,Google Workspace 管理員就能連線至該服務,並為使用者啟用 CSE。
重要術語
以下列出 Google Workspace Client-side Encryption API 中常用的術語:
- 用戶端加密 (CSE)
- 在將資料儲存在雲端儲存空間前,先在用戶端瀏覽器中處理加密作業。這可防止儲存空間供應器讀取檔案。瞭解詳情
- 金鑰存取控管清單服務 (KACLS)
- 您的外部金鑰服務會使用這個 API 控制存放在外部系統中的加密金鑰存取權。
- 識別資訊提供者 (IdP)
- 這項服務會驗證使用者,讓他們能夠將檔案加密或存取加密的檔案。
加密與解密
- 資料加密金鑰 (DEK)
- Google Workspace 在瀏覽器用戶端中用來加密資料本身的金鑰。
- 金鑰加密金鑰 (KEK)
- 服務提供的金鑰,用於加密資料加密金鑰 (DEK)。
存取權控管
- 存取控制清單 (ACL)
- 可開啟或讀取檔案的使用者或群組清單。
- 驗證 JSON Web Token (JWT)
- 識別資訊合作夥伴 (IdP) 核發的權杖 (JWT:RFC 7516),用於驗證使用者的身分。
- 授權 JSON Web Token (JWT)
- Google 核發的權杖權杖 (JWT:RFC 7516),用於驗證呼叫端是否有權對資源進行加密或解密。
- JSON Web Key Set (JWKS)
- 只讀端點網址,指向用於驗證 JSON Web Token (JWT) 的公開金鑰清單。
- 周邊
- 針對 KACLS 中的驗證和授權權杖執行其他存取權控管檢查。
用戶端加密程序
管理員為貴機構啟用 CSE 後,已啟用 CSE 的使用者就能選擇使用 Google Workspace 協作內容建立工具 (例如 Google 文件和試算表) 建立加密文件,或是將上傳到 Google 雲端硬碟的檔案 (例如 PDF) 加密。
使用者加密文件或檔案後:
Google Workspace 會在用戶端瀏覽器中產生 DEK,用於加密內容。
Google Workspace 會使用您提供給 Google Workspace 機構管理員的網址,將 DEK 和驗證權杖傳送至第三方 KACLS 進行加密。
KACLS 會使用這個 API 加密 DEK,然後將經過模糊處理的加密 DEK 傳回 Google Workspace。
Google Workspace 會將經過模糊處理且經過加密的資料儲存在雲端。只有具備 KACLS 存取權的使用者才能存取資料。
詳情請參閱「加密及解密檔案」。