Se usó la API de Cloud Translation para traducir esta página.

Configura tu servicio

Tu servicio de lista de control de acceso a las claves (KACLS) está configurado sin la participación de Google. A continuación, se muestran detalles sobre las opciones de configuración comunes y las prácticas recomendadas para configurar tu servicio.

Configuración operativa

La API solo debe estar disponible a través de HTTPS con TLS 1.2 o una versión posterior con un certificado X.509 válido.
El servidor de la API debe controlar CORS para acceder al extremo autorizado de Google: https://client-side-encryption.google.com.
Recomendamos una latencia máxima de 200 ms para el 99% de las solicitudes.

Configuración del proveedor de autorización

Usa la siguiente configuración para validar los tokens de autorización emitidos por Google durante la encriptación del cliente (CSE):

Contexto de la aplicación de Google Workspace	URL del extremo de JWKS	Emisor del token de autorización	Público de token de autorización
Google Drive y las herramientas colaborativas de creación de contenido, como Documentos y Hojas de cálculo	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`

Configuración del proveedor de identidad

La siguiente configuración es obligatoria para cada proveedor de identidad (IdP) que no sea de Google con el que funcione tu servicio:

Método para validar tokens. Por lo general, los tokens se validan mediante la URL a un archivo de conjunto de claves web JSON (JWKS), pero también pueden ser las claves públicas en sí.
Valores del emisor y del público: Los valores de los campos iss (emisor) y aud (público) que usa cada proveedor de identidad.

Configuración del perímetro

El concepto de perímetro en la encriptación del cliente (CSE) de Google Workspace se usa para proporcionar control de acceso a las claves de encriptación a través de KACLS. Los perímetros son verificaciones adicionales opcionales que se realizan en los tokens de autenticación y autorización dentro de los KACLS.

Los perímetros se pueden usar para lo siguiente:

Permitir que solo los usuarios de los dominios incluidos en la lista de entidades permitidas desencripten las claves
Incluir a los usuarios en la lista de entidades bloqueadas, como los administradores de Google Workspace
Proporciona restricciones avanzadas. Por ejemplo:
- Restricciones basadas en el tiempo para empleados de guardia o personas de vacaciones
- Restricciones de ubicación geográfica para evitar el acceso desde ubicaciones o redes específicas
- Acceso según el rol o tipo del usuario, según lo afirma el proveedor de identidad

Verifica la configuración de KACLS

Para verificar si tus KACLS están activos y configurados de forma correcta, envía una solicitud status. También se pueden realizar autoverificaciones internas, como la accesibilidad de KMS o el estado del sistema de registro.