ক্লায়েন্ট-সাইড এনক্রিপশনের জন্য একটি কাস্টম কী পরিষেবা তৈরি করুন
সেভ করা পৃষ্ঠা গুছিয়ে রাখতে 'সংগ্রহ' ব্যবহার করুন
আপনার পছন্দ অনুযায়ী কন্টেন্ট সেভ করুন ও সঠিক বিভাগে রাখুন।
Google Workspace-এর দেওয়া এনক্রিপশন ব্যবহার করার পরিবর্তে আপনি আপনার প্রতিষ্ঠানের ডেটা এনক্রিপ্ট করতে নিজের এনক্রিপশন কী ব্যবহার করতে পারেন। Google Workspace ক্লায়েন্ট-সাইড এনক্রিপশন (CSE), ড্রাইভের ক্লাউড-ভিত্তিক স্টোরেজে সংরক্ষণ করার আগে ক্লায়েন্টের ব্রাউজারে ফাইল এনক্রিপশন পরিচালনা করা হয়। এইভাবে, Google সার্ভারগুলি আপনার এনক্রিপশন কীগুলি অ্যাক্সেস করতে পারে না এবং তাই, আপনার ডেটা ডিক্রিপ্ট করতে পারে না৷ আরও বিশদ বিবরণের জন্য, ক্লায়েন্ট-সাইড এনক্রিপশন সম্পর্কে দেখুন।
এই API আপনাকে শীর্ষ-স্তরের এনক্রিপশন কীগুলি নিয়ন্ত্রণ করতে দেয় যা একটি কাস্টম বহিরাগত কী পরিষেবার মাধ্যমে আপনার ডেটা সুরক্ষিত করে। আপনি এই API দিয়ে একটি এক্সটার্নাল কী পরিষেবা তৈরি করার পরে, Google Workspace অ্যাডমিনিস্ট্রেটররা এটির সাথে কানেক্ট করতে পারবেন এবং তাদের ব্যবহারকারীদের জন্য CSE চালু করতে পারবেন।
গুরুত্বপূর্ণ পরিভাষা
নীচে Google Workspace ক্লায়েন্ট-সাইড এনক্রিপশন API-এ ব্যবহৃত সাধারণ পদগুলির একটি তালিকা রয়েছে:
- ক্লায়েন্ট-সাইড এনক্রিপশন (CSE)
- ক্লাউড-ভিত্তিক স্টোরেজে সংরক্ষিত হওয়ার আগে ক্লায়েন্টের ব্রাউজারে পরিচালনা করা এনক্রিপশন। এটি ফাইলটিকে স্টোরেজ প্রদানকারীর পড়া থেকে রক্ষা করে। আরও জানুন
- কী অ্যাক্সেস কন্ট্রোল লিস্ট সার্ভিস (KACLS)
- আপনার বাহ্যিক কী পরিষেবা যা একটি বহিরাগত সিস্টেমে সঞ্চিত এনক্রিপশন কীগুলির অ্যাক্সেস নিয়ন্ত্রণ করতে এই API ব্যবহার করে।
- পরিচয় প্রদানকারী (আইডিপি)
- পরিষেবা যা ব্যবহারকারীরা ফাইল এনক্রিপ্ট করতে বা এনক্রিপ্ট করা ফাইল অ্যাক্সেস করার আগে প্রমাণীকরণ করে।
এনক্রিপশন এবং ডিক্রিপশন
- ডেটা এনক্রিপশন কী (DEK)
- ডেটা এনক্রিপ্ট করার জন্য ব্রাউজার ক্লায়েন্টে Google Workspace ব্যবহার করা কী।
- কী এনক্রিপশন কী (KEK)
- আপনার পরিষেবার একটি কী ডেটা এনক্রিপশন কী (DEK) এনক্রিপ্ট করতে ব্যবহৃত হয়।
অ্যাক্সেস নিয়ন্ত্রণ
- অ্যাক্সেস কন্ট্রোল লিস্ট (ACL)
- ব্যবহারকারী বা গোষ্ঠীর একটি তালিকা যারা একটি ফাইল খুলতে বা পড়তে পারে।
- প্রমাণীকরণ JSON ওয়েব টোকেন (JWT)
- বিয়ারার টোকেন ( JWT: RFC 7516 ) আইডেন্টিটি পার্টনার (IdP) দ্বারা জারি করা ব্যবহারকারীর পরিচয় প্রত্যয়িত করার জন্য।
- অনুমোদন JSON ওয়েব টোকেন (JWT)
- বেয়ারার টোকেন ( JWT: RFC 7516 ) Google দ্বারা জারি করা হয়েছে তা যাচাই করার জন্য যে কলকারী একটি সংস্থান এনক্রিপ্ট বা ডিক্রিপ্ট করার জন্য অনুমোদিত।
- JSON ওয়েব কী সেট (JWKS)
- JSON ওয়েব টোকেন (JWT) যাচাই করার জন্য ব্যবহৃত পাবলিক কীগুলির একটি তালিকা নির্দেশ করে একটি শুধুমাত্র-পঠনযোগ্য এন্ডপয়েন্ট URL।
- পরিধি
- অ্যাক্সেস নিয়ন্ত্রণের জন্য KACLS-এর মধ্যে প্রমাণীকরণ এবং অনুমোদন টোকেনগুলিতে অতিরিক্ত চেক করা হয়েছে।
ক্লায়েন্ট-সাইড এনক্রিপশন প্রক্রিয়া
কোনও অ্যাডমিনিস্ট্রেটর তাদের প্রতিষ্ঠানের জন্য CSE চালু করার পরে, যে ব্যবহারকারীদের জন্য CSE চালু করা হয়েছে তারা Google Workspace-এর সহযোগী কন্টেন্ট তৈরির টুল, যেমন Docs এবং Sheets ব্যবহার করে এনক্রিপ্ট করা ডকুমেন্ট তৈরি করতে বা Google Drive-এ আপলোড করা ফাইল এনক্রিপ্ট করতে পারেন, যেমন PDFs।
ব্যবহারকারী একটি নথি বা ফাইল এনক্রিপ্ট করার পরে:
কন্টেন্ট এনক্রিপ্ট করতে Google Workspace ক্লায়েন্ট ব্রাউজারে একটি DEK তৈরি করে।
Google Workspace সংস্থার অ্যাডমিনিস্ট্রেটরকে আপনার দেওয়া ইউআরএল ব্যবহার করে এনক্রিপশনের জন্য Google Workspace আপনার থার্ড-পার্টি KACLS-এ DEK এবং প্রমাণীকরণ টোকেন পাঠায়।
আপনার KACLS এই API ব্যবহার করে DEK এনক্রিপ্ট করে, তারপর অস্পষ্ট, এনক্রিপ্ট করা DEK Google Workspace-এ ফেরত পাঠায়।
Google Workspace ক্লাউডে অস্পষ্ট, এনক্রিপ্ট করা ডেটা সঞ্চয় করে। শুধুমাত্র আপনার KACLS-এ অ্যাক্সেস থাকা ব্যবহারকারীরা ডেটা অ্যাক্সেস করতে সক্ষম।
আরও বিশদ বিবরণের জন্য, ফাইলগুলি এনক্রিপ্ট এবং ডিক্রিপ্ট দেখুন।
পরবর্তী পদক্ষেপ
অন্য কিছু উল্লেখ না করা থাকলে, এই পৃষ্ঠার কন্টেন্ট Creative Commons Attribution 4.0 License-এর অধীনে এবং কোডের নমুনাগুলি Apache 2.0 License-এর অধীনে লাইসেন্স প্রাপ্ত। আরও জানতে, Google Developers সাইট নীতি দেখুন। Java হল Oracle এবং/অথবা তার অ্যাফিলিয়েট সংস্থার রেজিস্টার্ড ট্রেডমার্ক।
2025-08-29 UTC-তে শেষবার আপডেট করা হয়েছে।
[null,null,["2025-08-29 UTC-তে শেষবার আপডেট করা হয়েছে।"],[[["\u003cp\u003eGoogle Workspace Client-side Encryption (CSE) allows you to encrypt your organization's data with your own keys, preventing Google servers from accessing or decrypting it.\u003c/p\u003e\n"],["\u003cp\u003eThis API enables you to manage the encryption keys via an external key service, giving you control over data access.\u003c/p\u003e\n"],["\u003cp\u003eCSE encrypts files in the user's browser before they are stored in Google Drive, ensuring only authorized users with access to your external key service can decrypt them.\u003c/p\u003e\n"],["\u003cp\u003eWhen a file is encrypted, Google Workspace generates a Data Encryption Key (DEK), which is then encrypted by your external key service and stored with the encrypted data.\u003c/p\u003e\n"],["\u003cp\u003eTo get started, you can configure your external key service and learn how to encrypt and decrypt data using the provided guides.\u003c/p\u003e\n"]]],["Google Workspace Client-side Encryption (CSE) allows users to encrypt data in their browser before cloud storage. This is achieved by using your own external Key Access Control List Service (KACLS). Google Workspace generates a Data Encryption Key (DEK) and sends it to your KACLS for encryption with a Key Encryption Key (KEK). Your service then returns the encrypted DEK to Google Workspace. This ensures that only users with KACLS access can decrypt the stored data.\n"],null,["# Build a custom key service for client-side encryption\n\nYou can use your own encryption keys to encrypt your organization's data,\ninstead of using the encryption that Google Workspace provides. With Google Workspace Client-side Encryption (CSE), file encryption is handled in the\nclient's browser before it's stored in Drive's cloud-based storage. That way,\nGoogle servers can't access your encryption keys and, therefore, can't decrypt\nyour data. For more details, see\n[About client-side encryption](https://support.google.com/a/answer/10741897#zippy=%2Cbasic-setup-steps-for-cse).\n\nThis API lets you control the top-level encryption keys that protect your data\nwith a custom external key service. After you create an external key service\nwith this API, Google Workspace administrators can connect to it and enable CSE\nfor their users.\n\nImportant terminology\n---------------------\n\nBelow is a list of common terms used in the Google Workspace Client-side Encryption API:\n\n*Client-side encryption (CSE)*\n: Encryption that's handled in the client's browser before it's stored in\n cloud-based storage. This protects the file from being read by the storage\n provider. [Learn more](https://support.google.com/a/answer/10741897#zippy=%2Chow-is-cse-different-from-end-to-end-ee-encryption)\n\n*Key Access Control List Service (KACLS)*\n: Your external key service that uses this API to control access to encryption\n keys stored in an external system.\n\n*Identity Provider (IdP)*\n: The service that authenticates users before they can encrypt files or access\n encrypted files.\n\n### Encryption \\& decryption\n\n*Data Encryption Key (DEK)*\n: The key used by Google Workspace in the browser client to encrypt the data\n itself.\n\n*Key Encryption Key (KEK)*\n: A key from your service used to encrypt a Data Encryption Key (DEK).\n\n### Access control\n\n*Access Control List (ACL)*\n: A list of users or groups that can open or read a file.\n\n*Authentication JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by the identity partner (IdP) to attest a user's identity.\n\n*Authorization JSON Web Token (JWT)*\n: Bearer token ([JWT: RFC 7516](https://tools.ietf.org/html/rfc7516))\n issued by Google to verify that the caller is authorized to encrypt or decrypt a resource.\n\n*JSON Web Key Set (JWKS)*\n: A read-only endpoint URL that points to a list of public keys used to verify\n JSON Web Tokens (JWT).\n\n*Perimeter*\n: Additional checks performed on the authentication and authorization tokens\n within the KACLS for access control.\n\nClient-side encryption process\n------------------------------\n\nAfter an administrator enables CSE for their organization, users for whom CSE is\nenabled can choose to create encrypted documents using the Google Workspace\ncollaborative content creation tools, like Docs and Sheets, or encrypt files\nthey upload to Google Drive, such as PDFs.\n\nAfter the user encrypts a document or file:\n\n1. Google Workspace generates a DEK in the client browser to encrypt the\n content.\n\n2. Google Workspace sends the DEK and authentication tokens to your third-party\n KACLS for encryption, using a URL you provide to the\n Google Workspace organization's administrator.\n\n3. Your KACLS uses this API to encrypt the DEK, then sends the obfuscated,\n encrypted DEK back to Google Workspace.\n\n4. Google Workspace stores the obfuscated, encrypted data in the cloud.\n Only users with access to your KACLS are able to access the data.\n\nFor more details, see [Encrypt and decrypt files](/workspace/cse/guides/encrypt-and-decrypt-data).\n\nNext steps\n----------\n\n- Learn how to [configure your service](/workspace/cse/guides/configure-service).\n- Learn how to [encrypt \\& decrypt data](/workspace/cse/guides/encrypt-and-decrypt-data)."]]
