将 Google Workspace 关联到身份提供方 (IdP) 后,您就可以设置您选择的外部密钥服务了。本文介绍了如何使用合作伙伴密钥服务。如果您要构建自己的密钥服务,请参阅 Google Workspace Client-side Encryption API 文档。
使用合作伙伴密钥服务
按照密钥服务的说明设置加密密钥和密钥访问控制列表 (KACL)。您的密钥服务将向您提供一个网址,用于访问其服务。您需要将此网址添加到管理控制台,以便将 Google Workspace 连接到外部密钥服务。
| 密钥服务 | 开始使用 |
|---|---|
| FlowCrypt | 说明 |
| Fortanix | 说明 |
| FutureX | 说明 |
| Stormshield | 概览 |
| Thales | 说明 |
关于如何将用户添加到密钥服务
请将需要使用 CSE 的内部和外部用户添加到您的密钥服务。
内部用户
设置密钥服务时,您还需创建密钥访问控制列表 (KACL),也就是您要允许加密内容或者查看及编辑加密内容的内部用户、群组或网域的列表。
外部用户
如果用户需要与外部组织共享加密内容,您的密钥服务需要将外部组织的身份提供方 (IdP) 列入许可名单。如需了解详情,请参阅客户端加密功能设置概览。
确保加密密钥安全无虞
警告 :如果您停用或销毁用于加密云端硬盘中文件的加密密钥,Google Workspace 应用将无法解密这些文件。这意味着用户无法以任何方式查看、编辑、下载或使用这些文件。在使用 CSE 之前,请务必与外部密钥服务合作伙伴沟通,了解如何保证密钥的安全(包括了解相关的备份和恢复选项)。同时,请务必仔细规划针对密钥服务所做的任何更改,以避免中断用户的服务。
后续步骤
设置外部密钥服务后,您需要将该密钥服务添加到管理控制台。
