Google Workspace を ID プロバイダ(IdP)に接続したら、選択した外部鍵サービスを設定できます。この記事では、パートナー鍵サービスの使用について説明します。独自の鍵サービスを構築する場合は、Google Workspace クライアントサイド暗号化 API のドキュメントをご覧ください。
パートナー鍵サービスを使用する
鍵サービスの手順に沿って、暗号鍵と鍵アクセス制御リスト(KACL)を設定します。鍵サービスから、サービスにアクセスするための URL が提供されます。この URL を管理コンソールに追加して、Google Workspace と外部鍵サービスを接続します。
| 鍵サービス | 始める |
|---|---|
| FlowCrypt | 手順 |
| Fortanix | 手順 |
| FutureX | 手順 |
| Stormshield | 概要 |
| Thales | 手順 |
鍵サービスにユーザーを追加する
鍵サービスと連携して、CSE を使用する必要がある内部ユーザーと外部ユーザーを追加します。
内部ユーザー
鍵サービスの設定時に、コンテンツの暗号化の対象および暗号化されたコンテンツの閲覧権限と編集権限の付与の対象とする内部ユーザー、グループ、またはドメインを指定するための鍵アクセス制御リスト(KACL)も作成します。
外部ユーザー
暗号化されたコンテンツをユーザーが外部組織と共有する必要がある場合は、ご利用の鍵サービスの許可リストに外部組織の ID プロバイダ(IdP)を追加する必要があります。詳しくは、クライアントサイド暗号化の設定の概要をご覧ください。
暗号鍵を安全に保管する
警告: Google ドライブ内のファイルの暗号化に使用した暗号鍵を無効にしたり破棄したりすると、Google Workspace アプリではそれらのファイルを復号できなくなります。つまり、ユーザーはこれらのファイルをいかなる方法でも表示、編集、ダウンロード、使用できなくなります。CSE を使用する前に、鍵を安全に保管する方法(バックアップや復元の方法など)について外部鍵サービス プロバイダに相談してください。また、ユーザーのサービスが中断することがないように、鍵サービスを変更する場合は慎重に計画してください。
次のステップ
外部鍵サービスを設定したら、そのサービスを管理コンソールに追加する必要があります。
