このページは Cloud Translation API によって翻訳されました。

サービスを構成する

鍵アクセス制御リストサービス（KACLS）が Google の関与なしで構成されている。以下では、サービスの構成に関する一般的な設定とベストプラクティスについて説明します。

運用設定

この API は、TLS 1.2 以降の HTTPS で、有効な X.509 証明書を使用してのみ使用できます。
API サーバーは CORS を処理して、Google の承認済みエンドポイント https://client-side-encryption.google.com にアクセスする必要があります。
99% のリクエストで最大 200 ms のレイテンシをおすすめします。

クライアントサイド暗号化（CSE）中に Google が発行した認可トークンを検証するには、次の設定を使用します。

Google Workspace アプリケーションコンテキスト	JWKS エンドポイント URL	認証トークン発行者	認証トークンのオーディエンス
Google ドライブ、コンテンツの共同作成ツール（ドキュメント、スプレッドシートなど）	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
カレンダーの CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS の移行	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

サービスが連携する Google 以外の ID プロバイダ（IdP）ごとに、次の設定が必要です。

Google Workspace クライアントサイド暗号化（CSE）の境界コンセプトは、KACLS を介して暗号鍵へのアクセス制御を提供するために使用されます。境界は、KACLS 内の認証トークンと認可トークンに対して実行されるオプションの追加チェックです。

境界線は次の目的で使用できます。

許可リスト登録済みドメイン内のユーザーにのみ鍵の復号を許可する。
Google Workspace 管理者などのユーザーをブロックリストに登録する。
高度な制限を指定します。例:
- オンコールの社員や休暇中の社員に対する時間ベースの制限
- 特定の場所またはネットワークからのアクセスを防ぐ位置情報の制限
- ユーザーロールまたはタイプベースのアクセス（ID プロバイダによってアサートされる）

KACLS が有効で正しく構成されているかどうかを確認するには、status リクエストを送信します。KMS のアクセス可能性やロギングシステムの健全性などの内部セルフチェックも実行できます。