設定服務

您的金鑰存取控制清單服務 (KACLS) 已設定完成，無須 Google 介入。以下是設定服務的常見設定和最佳做法。

作業設定

• 這個 API 應僅透過 HTTPS 搭配傳輸層安全標準 (TLS) 1.2 以上版本和有效的 X.509 憑證提供。

• API 伺服器應處理 CORS，以便存取 Google 授權端點：https://client-side-encryption.google.com。

• 建議 99% 的要求延遲時間上限為 200 毫秒。

授權提供者設定

請使用下列設定，在用戶端加密 (CSE) 期間驗證 Google 核發的授權權杖：

Google Workspace 應用程式內容	JWKS 端點網址	授權權杖核發者	授權權杖目標對象
Google 雲端硬碟和協作內容製作工具，例如 Google 文件和試算表	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com	gsuitecse-tokenissuer-drive@system.gserviceaccount.com	cse-authorization
Meet CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com	gsuitecse-tokenissuer-meet@system.gserviceaccount.com	cse-authorization
日曆 CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	cse-authorization
Gmail CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	cse-authorization
KACLS 遷移	https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com	apps-security-cse-kaclscommunication@system.gserviceaccount.com	cse-authorization

識別資訊提供者設定

您服務所用的每個非 Google 身分識別提供者 (IdP) 都必須採用下列設定：

• 驗證權杖的方法。權杖通常會透過 JSON Web 金鑰集 (JWKS) 檔案的網址進行驗證，但也可以是公開金鑰本身。
• 核發者和目標對象值：每個 Identity Provider 使用的 iss (核發者) 和 aud (目標對象) 欄位值。

周界設定

Google Workspace 用戶端加密 (CSE) 中的邊界概念，可透過 KACLS 提供加密金鑰的存取權控管機制。邊界是指對 KACLS 中的驗證和授權權杖執行的選用額外檢查。

安全範圍可用於：

• 僅允許許可網域中的使用者解密金鑰。
• 將使用者加入封鎖清單，例如 Google Workspace 管理員。
• 提供進階限制。例如：
  • 針對值班員工或休假人員設定時間限制
  • 地理位置限制，可防止特定位置或網路存取
  • 由身分驗證提供者聲明的使用者角色或類型存取權

驗證 KACLS 設定

如要確認 KACLS 是否處於啟用狀態且設定正確，請傳送 status 要求。您也可以執行內部自檢查，例如 KMS 可用性或記錄系統健康狀態。