Bạn có thể sử dụng khoá mã hoá của riêng mình để mã hoá dữ liệu của tổ chức, thay vì sử dụng phương thức mã hoá mà Google Workspace cung cấp. Với tính năng Mã hoá phía máy khách (CSE) của Google Workspace, quy trình mã hoá tệp được xử lý trong trình duyệt của ứng dụng trước khi được lưu trữ trong bộ nhớ trên đám mây của Drive. Theo đó, máy chủ của Google không thể truy cập vào khoá mã hoá nên không thể giải mã dữ liệu của bạn. Để biết thêm thông tin chi tiết, hãy xem bài viết Giới thiệu về tính năng mã hoá phía máy khách.
API này cho phép bạn kiểm soát các khoá mã hoá cấp cao nhất giúp bảo vệ dữ liệu của bạn bằng dịch vụ khoá tuỳ chỉnh bên ngoài. Sau khi bạn tạo một dịch vụ khoá bên ngoài bằng API này, quản trị viên Google Workspace có thể kết nối với dịch vụ đó và bật tính năng CSE cho người dùng của họ.
Thuật ngữ quan trọng
Dưới đây là danh sách các thuật ngữ thường dùng trong API Mã hoá phía máy khách của Google Workspace:
- Tính năng mã hoá phía máy khách (CSE)
- Mã hoá được xử lý trong trình duyệt của ứng dụng trước khi lưu trữ trong bộ nhớ trên đám mây. Thao tác này giúp trình cung cấp bộ nhớ không đọc tệp. Tìm hiểu thêm
- Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS)
- Dịch vụ mã khoá bên ngoài dùng API này để kiểm soát quyền truy cập vào các khoá mã hoá lưu trữ trong hệ thống bên ngoài.
- Nhà cung cấp danh tính (IdP)
- Dịch vụ xác thực người dùng trước khi họ có thể mã hoá tệp hoặc truy cập vào tệp đã mã hoá.
Mã hoá và giải mã
- Khoá mã hoá dữ liệu (DEK)
- Khoá mà Google Workspace sử dụng trong ứng dụng của trình duyệt để tự mã hoá dữ liệu.
- Khoá mã hoá khoá (KEK)
- Khoá trong dịch vụ của bạn dùng để mã hoá Khoá mã hoá dữ liệu (DEK).
Kiểm soát ra vào
- Danh sách kiểm soát quyền truy cập (ACL)
- Danh sách người dùng hoặc nhóm có thể mở hoặc đọc một tệp.
- Mã thông báo web JSON xác thực (JWT)
- Mã thông báo xác minh (JWT: RFC 7516) do đối tác danh tính (IdP) cấp để chứng thực danh tính của người dùng.
- Mã thông báo web JSON được uỷ quyền (JWT)
- Mã thông báo gấu (JWT: RFC 7516) do Google cấp để xác minh rằng phương thức gọi được uỷ quyền mã hoá hoặc giải mã tài nguyên.
- Bộ khoá web JSON (JWKS)
- URL điểm cuối chỉ có thể đọc trỏ đến danh sách các khoá công khai dùng để xác minh Mã thông báo web JSON (JWT).
- Chu vi
- Các hoạt động kiểm tra bổ sung được thực hiện đối với các mã thông báo xác thực và uỷ quyền trong KACLS để kiểm soát quyền truy cập.
Quy trình mã hoá phía máy khách
Sau khi quản trị viên bật tính năng CSE cho tổ chức của họ, người dùng đã bật CSE có thể chọn tạo tài liệu đã mã hoá bằng bộ công cụ tạo nội dung cộng tác của Google Workspace, như Tài liệu và Trang tính, hoặc mã hoá các tệp họ tải lên Google Drive (chẳng hạn như PDF).
Sau khi người dùng mã hoá một tài liệu hoặc tệp:
Google Workspace tạo một DEK trong trình duyệt ứng dụng để mã hoá nội dung.
Google Workspace gửi mã DEK và mã xác thực đến KACLS bên thứ ba để mã hoá bằng URL mà bạn cung cấp cho quản trị viên của tổ chức Google Workspace.
KACLS sử dụng API này để mã hoá DEK, sau đó gửi DEK đã mã hoá và đã làm rối mã nguồn trở lại cho Google Workspace.
Google Workspace lưu trữ dữ liệu đã mã hoá và làm rối mã nguồn trên đám mây. Chỉ những người dùng có quyền truy cập vào KACLS mới có thể truy cập vào dữ liệu này.
Để biết thêm thông tin chi tiết, hãy xem bài viết Mã hoá và giải mã tệp.
Các bước tiếp theo
- Tìm hiểu cách định cấu hình dịch vụ của bạn.
- Tìm hiểu cách mã hoá và giải mã dữ liệu.