您的金鑰存取控制清單服務 (KACLS) 並未涉及 Google 的開發。以下是設定服務的常用設定和最佳做法的詳細資料。
作業設定
這個 API 只能透過 TLS 1.2 以上版本並具備有效的 X.509 憑證,透過 HTTPS 使用。
API 伺服器應處理 CORS,以存取 Google 的授權端點:
https://client-side-encryption.google.com
。建議 99% 的要求最長延遲時間為 200 毫秒。
授權提供者設定
請使用以下設定,在用戶端加密 (CSE) 期間驗證 Google 核發的授權權杖:
Google Workspace 應用程式內容 | JWKS 端點網址 | 授權權杖核發者 | 授權權杖目標對象 |
---|---|---|---|
Google 雲端硬碟和協作內容創作工具,例如文件與試算表 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
認識 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
日曆 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
KACLS 遷移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
識別資訊提供者設定
與您服務合作的每個非 Google 識別資訊提供者 (IdP) 都需要設定下列設定:
- 驗證權杖的方法。權杖通常是由 JSON Web Key Set (JWKS) 檔案的網址驗證,但也可能是公開金鑰本身。
- 核發者和目標對象值:每個識別資訊提供者使用的
iss
(發行者) 和aud
(目標對象) 欄位值。
週長設定
您可以使用 Google Workspace 用戶端加密 (CSE) 中的範圍概念,透過 KACLS 提供加密金鑰的存取權控管。範圍是對 KACLS 內的驗證和授權權杖所執行的選用額外檢查,
範圍可用於:
- 僅允許許可網域中的使用者解密金鑰。
- 將使用者加入封鎖清單,例如 Google Workspace 管理員。
- 提供進階限制。例如:
- 時間限制 (會影響值班員工或休假期間的員工)
- 地理位置限制,以防止從特定位置或網路存取
- 識別資訊提供者宣告的使用者角色或類型存取權
驗證您的 KACLS 設定
如要檢查 KACLS 是否啟用並正確設定,請傳送 status
要求。您也可以執行內部自我檢查,例如 KMS 無障礙功能或記錄系統健康狀態。