Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi layanan Anda

Key Access Control List Service (KACLS) Anda dikonfigurasi tanpa keterlibatan tim. Di bawah ini adalah detail tentang setelan umum dan praktik terbaik untuk mengonfigurasi layanan Anda.

Setelan operasional

API hanya boleh tersedia melalui HTTPS dengan TLS 1.2 atau yang lebih baru dengan Sertifikat X.509.
Server API akan menangani CORS untuk mengakses endpoint yang diizinkan Google: https://client-side-encryption.google.com.
Sebaiknya latensi maksimum 200 md untuk 99% permintaan.

Setelan penyedia otorisasi

Gunakan setelan di bawah untuk memvalidasi dokumen token otorisasi selama enkripsi sisi klien (CSE):

Konteks aplikasi Google Workspace	URL endpoint JWKS	Penerbit token otorisasi	Audiens token otorisasi
Google Drive dan alat pembuat konten kolaboratif, seperti Dokumen dan Spreadsheet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE Kalender	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
Migrasi KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

Setelan Penyedia Identitas

Setelan di bawah diwajibkan untuk setiap Penyedia Identitas (IdP) non-Google layanan ini dapat berfungsi dengan:

Metode untuk memvalidasi token. Token biasanya divalidasi oleh URL ke File JSON Web Key Set (JWKS), tetapi juga bisa berupa kunci publik itu sendiri.
Nilai penerbit dan audiens: Kolom iss (penerbit) dan aud (audiens) nilai yang digunakan oleh setiap Penyedia Identitas.

Setelan perimeter

Konsep perimeter digunakan di Enkripsi sisi klien (CSE) Google Workspace untuk memberikan kontrol akses ke kunci enkripsi melalui KACLS. Keliling adalah pemeriksaan tambahan opsional yang dilakukan pada otentikasi dan otorisasi token dalam KACLS.

Perimeter dapat digunakan untuk:

Hanya izinkan pengguna di domain yang diizinkan untuk mendekripsi kunci.
Masukkan pengguna ke daftar yang tidak diizinkan, seperti Administrator Google Workspace.
Memberikan pembatasan lanjutan. Misalnya:
- Batasan berbasis waktu untuk karyawan yang melakukan panggilan atau orang yang sedang berlibur
- Pembatasan geolokasi untuk mencegah akses dari lokasi tertentu atau jaringan
- Akses berbasis peran atau jenis pengguna, sebagaimana ditegaskan oleh Penyedia Identitas

Memverifikasi konfigurasi KACLS

Untuk memeriksa apakah KACLS Anda aktif dan dikonfigurasi dengan benar, kirim Permintaan status. Pemeriksaan mandiri internal seperti aksesibilitas KMS atau kesehatan sistem logging, juga dapat dilakukan.