이 페이지는 Cloud Translation API를 통해 번역되었습니다.

서비스 구성

키 액세스 제어 목록 서비스 (KACLS)가 Google의 개입 없이 구성된 경우. 다음은 서비스 구성을 위한 일반적인 설정과 권장사항에 대한 세부정보입니다.

운영 설정

API는 유효한 X.509 인증서가 있는 TLS 1.2 이상 HTTPS를 통해서만 사용할 수 있어야 합니다.
API 서버는 Google의 승인된 엔드포인트(https://client-side-encryption.google.com)에 액세스하기 위해 CORS를 처리해야 합니다.
요청의 99% 에 대해 최대 지연 시간을 200ms로 설정하는 것이 좋습니다.

클라이언트 측 암호화 (CSE) 중에 Google에서 발급한 승인 토큰의 유효성을 검사하려면 아래 설정을 사용합니다.

Google Workspace 애플리케이션 컨텍스트	JWKS 엔드포인트 URL	승인 토큰 발급기관	승인 토큰 대상
Google Drive와 Docs, Sheets 등의 공동 콘텐츠 제작 도구	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE 소개	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
캘린더 CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS 이전	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

아래 설정은 서비스에서 작동하는 각 Google 이외의 ID 공급업체 (IdP)에 필요합니다.

Google Workspace 클라이언트 측 암호화 (CSE)의 경계 개념은 KACLS를 통해 암호화 키에 대한 액세스 제어를 제공하는 데 사용됩니다. 경계는 KACLS 내에서 인증 및 승인 토큰에 대해 수행되는 선택적 추가 검사입니다.

경계는 다음과 같은 용도로 사용할 수 있습니다.

허용된 도메인의 사용자만 키를 복호화할 수 있도록 허용합니다.
사용자(예: Google Workspace 관리자)를 차단 목록에 추가합니다.
고급 제한사항을 제공합니다. 예를 들면 다음과 같습니다.
- 근무 중인 직원 또는 휴가 중인 직원에 대한 시간 기반 제한
- 특정 위치 또는 네트워크에서의 액세스를 차단하는 위치정보 제한
- ID 공급업체가 어설션하는 사용자 역할 또는 유형 기반 액세스

KACLS가 활성 상태이고 올바르게 구성되었는지 확인하려면 status 요청을 보냅니다. KMS 접근성 또는 시스템 상태 로깅과 같은 내부 자체 검사도 수행할 수 있습니다.