สร้างบริการจัดการคีย์ที่กําหนดเองสําหรับการเข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถใช้คีย์การเข้ารหัสของคุณเองเพื่อเข้ารหัสข้อมูลขององค์กร แทนการใช้การเข้ารหัสที่ Google Workspace มีให้ เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ระบบจะจัดการการเข้ารหัสไฟล์ในเบราว์เซอร์ของไคลเอ็นต์ก่อนที่จะจัดเก็บไว้ในพื้นที่เก็บข้อมูลระบบคลาวด์ของไดรฟ์ ซึ่งการดำเนินการนี้จะทำให้เซิร์ฟเวอร์ของ Google ไม่สามารถเข้าถึงคีย์การเข้ารหัส และจะถอดรหัสข้อมูลของคุณไม่ได้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

API นี้ช่วยให้คุณควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณด้วยบริการจัดการคีย์ภายนอกที่กำหนดเอง หลังจากสร้างบริการจัดการคีย์ภายนอกด้วย API นี้แล้ว ผู้ดูแลระบบ Google Workspace จะเชื่อมต่อกับบริการดังกล่าวและเปิดใช้ CSE ให้กับผู้ใช้ของตนได้

คำศัพท์ที่สำคัญ

ด้านล่างนี้เป็นรายการคำศัพท์ทั่วไปที่ใช้ใน API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace

การเข้ารหัสฝั่งไคลเอ็นต์ (CSE)
การเข้ารหัสที่จัดการในเบราว์เซอร์ของไคลเอ็นต์ก่อนจัดเก็บไว้ในพื้นที่เก็บข้อมูลในระบบคลาวด์ ซึ่งจะช่วยป้องกันไม่ให้ผู้ให้บริการพื้นที่เก็บข้อมูลอ่านไฟล์ ดูข้อมูลเพิ่มเติม
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS)
บริการจัดการคีย์ภายนอกที่ใช้ API นี้เพื่อควบคุมการเข้าถึงคีย์การเข้ารหัสที่จัดเก็บไว้ในระบบภายนอก
ผู้ให้บริการข้อมูลประจำตัว (IdP)
บริการที่ตรวจสอบสิทธิ์ผู้ใช้ก่อนที่ผู้ใช้จะเข้ารหัสไฟล์หรือเข้าถึงไฟล์ที่เข้ารหัสได้

การเข้ารหัสและการถอดรหัส

คีย์การเข้ารหัสข้อมูล (DEK)
คีย์ที่ Google Workspace ใช้ในไคลเอ็นต์ของเบราว์เซอร์เพื่อเข้ารหัสข้อมูลด้วยตนเอง
คีย์การเข้ารหัสคีย์ (KEK)
คีย์จากบริการที่ใช้เพื่อเข้ารหัสคีย์การเข้ารหัสข้อมูล (DEK)

การควบคุมการเข้าถึง

รายการควบคุมการเข้าถึง (ACL)
รายชื่อผู้ใช้หรือกลุ่มที่เปิดหรืออ่านไฟล์ได้
เว็บโทเค็น JSON (JWT) สำหรับการตรวจสอบสิทธิ์
โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
การให้สิทธิ์เว็บโทเค็น JSON (JWT)
โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ที่ออกโดย Google เพื่อยืนยันว่าผู้โทรได้รับอนุญาตให้เข้ารหัสหรือถอดรหัสทรัพยากร
ชุดคีย์เว็บ JSON (JWKS)
URL ปลายทางแบบอ่านอย่างเดียวที่ชี้ไปยังรายการคีย์สาธารณะที่ใช้เพื่อยืนยัน JSON Web Token (JWT)
ขอบเขต
การตรวจสอบเพิ่มเติมเกี่ยวกับโทเค็นการตรวจสอบสิทธิ์และการให้สิทธิ์ภายใน KACLS สำหรับการควบคุมการเข้าถึง

กระบวนการเข้ารหัสฝั่งไคลเอ็นต์

หลังจากที่ผู้ดูแลระบบเปิดใช้ CSE ให้กับองค์กรแล้ว ผู้ใช้ที่เปิดใช้ CSE จะสามารถเลือกสร้างเอกสารที่เข้ารหัสโดยใช้เครื่องมือสร้างเนื้อหาแบบทำงานร่วมกันของ Google Workspace เช่น เอกสารและชีต หรือเข้ารหัสไฟล์ที่อัปโหลดไปยัง Google ไดรฟ์ เช่น PDF ได้

หลังจากที่ผู้ใช้เข้ารหัสเอกสารหรือไฟล์ ให้ทำดังนี้

  1. Google Workspace จะสร้าง DEK ในเบราว์เซอร์ของไคลเอ็นต์เพื่อเข้ารหัสเนื้อหา

  2. Google Workspace จะส่งโทเค็น DEK และการตรวจสอบสิทธิ์ไปยัง KACLS บุคคลที่สามเพื่อการเข้ารหัส โดยใช้ URL ที่คุณให้ไว้กับผู้ดูแลระบบขององค์กร Google Workspace

  3. KACLS ของคุณใช้ API นี้เพื่อเข้ารหัส DEK จากนั้นส่ง DEK ที่เข้ารหัสและสร้างความสับสนกลับไปยัง Google Workspace

  4. Google Workspace จะจัดเก็บข้อมูลที่เข้ารหัสและสร้างความสับสนไว้ในระบบคลาวด์ มีเพียงผู้ใช้ที่มีสิทธิ์เข้าถึง KACLS ของคุณเท่านั้นที่จะเข้าถึงข้อมูลได้

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเข้ารหัสและถอดรหัสไฟล์

ขั้นตอนถัดไป