設定服務

您的金鑰存取控制清單服務 (KACLS) 並未涉及 Google 的開發。以下是設定服務的常用設定和最佳做法的詳細資料。

作業設定

• 這個 API 只能透過 TLS 1.2 以上版本並具備有效的 X.509 憑證，透過 HTTPS 使用。

• API 伺服器應處理 CORS，以存取 Google 的授權端點：https://client-side-encryption.google.com。

• 建議 99% 的要求最長延遲時間為 200 毫秒。

授權提供者設定

請使用以下設定，在用戶端加密 (CSE) 期間驗證 Google 核發的授權權杖：

Google Workspace 應用程式內容	JWKS 端點網址	授權權杖核發者	授權權杖目標對象
Google 雲端硬碟和協作內容創作工具，例如文件與試算表	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com	gsuitecse-tokenissuer-drive@system.gserviceaccount.com	cse-authorization
認識 CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com	gsuitecse-tokenissuer-meet@system.gserviceaccount.com	cse-authorization
日曆 CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	cse-authorization
Gmail CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	cse-authorization
KACLS 遷移	https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com	apps-security-cse-kaclscommunication@system.gserviceaccount.com	cse-authorization

識別資訊提供者設定

與您服務合作的每個非 Google 識別資訊提供者 (IdP) 都需要設定下列設定：

• 驗證權杖的方法。權杖通常是由 JSON Web Key Set (JWKS) 檔案的網址驗證，但也可能是公開金鑰本身。
• 核發者和目標對象值：每個識別資訊提供者使用的 iss (發行者) 和 aud (目標對象) 欄位值。

週長設定

您可以使用 Google Workspace 用戶端加密 (CSE) 中的範圍概念，透過 KACLS 提供加密金鑰的存取權控管。範圍是對 KACLS 內的驗證和授權權杖所執行的選用額外檢查，

範圍可用於：

• 僅允許許可網域中的使用者解密金鑰。
• 將使用者加入封鎖清單，例如 Google Workspace 管理員。
• 提供進階限制。例如：
  • 時間限制 (會影響值班員工或休假期間的員工)
  • 地理位置限制，以防止從特定位置或網路存取
  • 識別資訊提供者宣告的使用者角色或類型存取權

驗證您的 KACLS 設定

如要檢查 KACLS 是否啟用並正確設定，請傳送 status 要求。您也可以執行內部自我檢查，例如 KMS 無障礙功能或記錄系統健康狀態。