您的金鑰存取控制清單服務 (KACLS) 已設定完成,無須 Google 介入。以下是設定服務的常見設定和最佳做法。
作業設定
這個 API 應僅透過 HTTPS 搭配傳輸層安全標準 (TLS) 1.2 以上版本和有效的 X.509 憑證提供。
API 伺服器應處理 CORS,以便存取 Google 授權端點:
https://client-side-encryption.google.com。建議 99% 的要求延遲時間上限為 200 毫秒。
授權提供者設定
請使用下列設定,在用戶端加密 (CSE) 期間驗證 Google 核發的授權權杖:
| Google Workspace 應用程式內容 | JWKS 端點網址 | 授權權杖核發者 | 授權權杖目標對象 |
|---|---|---|---|
| Google 雲端硬碟和協作內容製作工具,例如 Google 文件和試算表 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| 日曆 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS 遷移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
識別資訊提供者設定
您服務所用的每個非 Google 身分識別提供者 (IdP) 都必須採用下列設定:
- 驗證權杖的方法。權杖通常會透過 JSON Web 金鑰集 (JWKS) 檔案的網址進行驗證,但也可以是公開金鑰本身。
- 核發者和目標對象值:每個 Identity Provider 使用的
iss(核發者) 和aud(目標對象) 欄位值。
周界設定
Google Workspace 用戶端加密 (CSE) 中的邊界概念,可透過 KACLS 提供加密金鑰的存取權控管機制。邊界是指對 KACLS 中的驗證和授權權杖執行的選用額外檢查。
安全範圍可用於:
- 僅允許許可網域中的使用者解密金鑰。
- 將使用者加入封鎖清單,例如 Google Workspace 管理員。
- 提供進階限制。例如:
- 針對值班員工或休假人員設定時間限制
- 地理位置限制,可防止特定位置或網路存取
- 由身分驗證提供者聲明的使用者角色或類型存取權
驗證 KACLS 設定
如要確認 KACLS 是否處於啟用狀態且設定正確,請傳送 status 要求。您也可以執行內部自檢查,例如 KMS 可用性或記錄系統健康狀態。