將 Google Workspace 連線至識別資訊提供者 (IdP) 後,您就可以設定所選外部金鑰服務。本文將說明如何使用合作夥伴金鑰服務。如要自行建構金鑰服務,請參閱 Google Workspace Client-side Encryption API 的說明文件。
使用合作夥伴金鑰服務
請按照金鑰服務的操作說明,設定加密金鑰和金鑰存取控制清單 (KACL)。金鑰服務會提供用來存取服務的網址。您必須在管理控制台中新增這個網址,才能將 Google Workspace 連線至外部金鑰服務。
| 金鑰服務 | 開始設定 |
|---|---|
| FlowCrypt | 指示 |
| Fortanix | 指示 |
| FutureX | 指示 |
| Stormshield | 總覽 |
| Thales | 指示 |
將使用者新增至金鑰服務
請搭配使用金鑰服務,新增需要使用 CSE 的內部和外部使用者。
內部使用者
您將在設定金鑰服務時一併建立金鑰存取控制清單 (KACL)。也就是說,您可以設定哪些內部使用者、群組或網域能加密內容,或具備檢視與編輯加密內容的權限。
外部使用者
如果您的使用者需要與外部機構共用加密內容,就必須將外部機構的識別資訊提供者 (IdP) 加入金鑰服務的許可清單。詳情請參閱「用戶端加密設定總覽」。
保護加密金鑰
警告:如果停用或刪除用於加密雲端硬碟檔案的加密金鑰,Google Workspace 應用程式就無法解密這些檔案。也就是說,使用者無法透過任何方式查看、編輯、下載或使用這些檔案。使用 CSE 前,請務必與外部金鑰服務供應商討論如何確保金鑰安全無虞,包括提供備份與還原選項。此外,請務必審慎規劃金鑰服務的各項異動事宜,以免造成使用者服務中斷。
下一步
設定外部金鑰服務後,您必須在管理控制台中新增金鑰服務。