Crea un servizio chiavi personalizzato per la crittografia lato client

Puoi usare le tue chiavi di crittografia per criptare i dati della tua organizzazione, anziché utilizzare la crittografia fornita da Google Workspace. Con la crittografia lato client di Google Workspace, la crittografia dei file viene gestita prima di essere archiviato nello spazio di archiviazione basato su cloud di Drive. In questo modo I server di Google non possono accedere alle tue chiavi di crittografia e, pertanto, non possono decriptare i tuoi dati. Per ulteriori dettagli, vedi Informazioni sulla crittografia lato client.

Questa API ti consente di controllare le chiavi di crittografia di primo livello che proteggono i tuoi dati con un servizio chiavi esterno personalizzato. Dopo aver creato un servizio chiavi esterno con questa API, gli amministratori di Google Workspace possono connettersi all'API e attivare la crittografia lato client per i loro utenti.

Terminologia importante

Di seguito è riportato un elenco dei termini comuni utilizzati nell'API Client-Side Encryption di Google Workspace:

Crittografia lato client
Crittografia gestita nel browser del client prima di essere archiviata archiviazione basata su cloud. In questo modo il file non viene letto dallo spazio di archiviazione o il provider di servizi di terze parti. Scopri di più
KACLS (Key Access Control List Service)
Il tuo servizio chiavi esterno che utilizza questa API per controllare l'accesso alla crittografia memorizzate in un sistema esterno.
Provider di identità (IdP)
Il servizio che autentica gli utenti prima che possano criptare file o accedere file criptati.

Crittografia e decrittografia

Chiave di crittografia dei dati (DEK)
La chiave utilizzata da Google Workspace nel client del browser per criptare i dati per trovare le regole.
Chiave di crittografia della chiave (KEK)
Una chiave del tuo servizio utilizzata per criptare una chiave di crittografia dei dati (DEK, Data Encryption Key).

Controllo degli accessi

Elenco di controllo dell'accesso (ACL)
Un elenco di utenti o gruppi che possono aprire o leggere un file.
JWT (token web JSON di autenticazione)
Token di connessione (JWT: RFC 7516) emessi dal partner di identità (IdP) per attestare l'identità di un utente.
JWT (token web JSON di autorizzazione)
Token di connessione (JWT: RFC 7516) emesso da Google per verificare che il chiamante sia autorizzato a criptare o decriptare una risorsa.
JWKS (JSON Web Key Set)
Un URL di un endpoint di sola lettura che rimanda a un elenco di chiavi pubbliche utilizzate per la verifica JWT (JSON Web Token).
Perimetro
Controlli aggiuntivi eseguiti sui token di autenticazione e autorizzazione all'interno dei KACL per il controllo dell'accesso.

Procedura di crittografia lato client

Dopo che un amministratore ha attivato la crittografia lato client per la propria organizzazione, gli utenti per i quali viene possono scegliere di creare documenti criptati utilizzando Google Workspace strumenti di collaborazione per la creazione di contenuti, come Documenti e Fogli, o di criptare i file che caricano su Google Drive, come i PDF.

Dopo che l'utente ha criptato un documento o un file:

  1. Google Workspace genera una DEK nel browser client per criptare le contenuti.

  2. Google Workspace invia i token DEK e di autenticazione alla terza parte KACL per la crittografia, utilizzando un URL fornito ai Amministratore dell'organizzazione Google Workspace.

  3. Il tuo KACLS utilizza questa API per criptare la DEK, quindi invia le informazioni offuscate DEK di nuovo criptato in Google Workspace.

  4. Google Workspace archivia i dati offuscati e criptati nel cloud. Solo gli utenti con accesso ai tuoi KACL possono accedere ai dati.

Per maggiori dettagli, vedi Criptare e decriptare i file.

Passaggi successivi