一、产品简介
谁能操作:超级管理员或拥有企业密钥管理权限的管理员
为了满足客户在合规与数据安全方面的需求,飞书推出了第三方密钥产品。第三方密钥产品支持客户在飞书公有云上产生的数据,使用客户指定的第三方平台生成的密钥加密后落盘存储。用户数据密文存储在飞书侧,密钥存储在客户自选的可信第三方平台上,飞书无法独立解密。断开密钥连接后,飞书无法使用第三方平台生成的密钥加密的数据,从而提高了企业对密钥系统的自主掌控能力,实现对自身数据的完全控制和可见访问。
二、产品能力
加密的数据范围
当前飞书支持按业务线维度进行密钥的导入。目前支持业务线为:消息(单聊、群聊、话题群内发送的内容类数据);云空间(在线文档、我的空间、共享空间、知识库等)。
基本功能
密钥接入:可以接入客户使用的第三方平台的主密钥,飞书可通过公网访问到对应密钥。(目前支持 AWS KMS 和 Aliyun KMS)。
密钥更换:更换当前正在用于加密的主密钥,选择使用新的密钥加密数据。
密钥查看:提供密钥管理平台,查看所有密钥的列表和单个密钥的详情。
断开连接:可以断开飞书与第三方密钥的连接,使得飞书无法调用第三方密钥,断开连接后则对应数据无法解密。
操作日志:记录所有密钥的操作行为,操作时间,操作执行者。
三、与 SaaS 对比
四、操作说明
启用第三方密钥服务
- 在开启第三方密钥服务之前,客户数据仍然使用飞书默认密钥进行加密。
- 开启第三方密钥服务之后,新接入的第三方主密钥替代默认密钥参与数据的加解密流程。
- 飞书原先的默认密钥不在密钥列表显示,但仍然用于历史数据解密。
方案验证和日志服务
以 AWS 后台为例
- 如何验证调用了第三方平台密钥?
250px|700px|reset
250px|700px|reset
- 调用监控如何查看?
- 调用日志如何解读?