鍵アクセス制御リストサービス(KACLS)は Google の関与なしに構成されています。以下に、サービスを構成する一般的な設定とベスト プラクティスの詳細を示します。
オペレーションの設定
API は、有効な X.509 証明書を使用して、TLS 1.2 以降の HTTPS 経由でのみ使用できる必要があります。
API サーバーは CORS を処理して、Google の承認済みエンドポイント
https://client-side-encryption.google.comにアクセスします。リクエストの 99% の最大レイテンシを 200 ms にすることをおすすめします。
認可プロバイダの設定
クライアントサイド暗号化(CSE)中に Google 発行の認証トークンを検証するには、以下の設定を使用します。
| Google Workspace アプリケーションのコンテキスト | JWKS エンドポイント URL | 認証トークンの発行者 | 認証トークンのオーディエンス |
|---|---|---|---|
| Google ドライブとコンテンツの共同編集ツール(ドキュメント、スプレッドシートなど) | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE を適用 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| カレンダーの CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS の移行 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
ID プロバイダの設定
以下の設定は、サービスが連携する Google 以外の ID プロバイダ(IdP)ごとに必要です。
- トークンを検証するメソッド。トークンは通常、JSON Web Key Set(JWKS)ファイルへの URL によって検証されますが、公開鍵自体にすることもできます。
- 発行者とオーディエンスの値: 各 ID プロバイダで使用される
iss(発行者)とaud(オーディエンス)のフィールド値。
境界の設定
Google Workspace クライアントサイド暗号化(CSE)の境界のコンセプトは、KACLS を介して暗号鍵へのアクセス制御を提供するために使用されます。境界は、KACLS 内の認証トークンと認可トークンに対して実行されるオプションの追加チェックです。
境界は以下の目的で使用できます。
- 許可リストに登録されているドメイン内のユーザーのみに鍵の復号を許可します。
- 拒否リストに登録されたユーザー(Google Workspace 管理者など)
- 詳細な制限を指定する。例:
- オンコール従業員または休暇中の従業員に対する時間ベースの制限
- 特定の場所やネットワークからのアクセスを防ぐ位置情報の制限
- ID プロバイダによってアサートされる、ユーザー ロールベースまたはタイプベースのアクセス
KACLS の構成を確認する
KACLS が有効で正しく構成されているかどうかを確認するには、status リクエストを送信します。KMS のアクセシビリティやシステムの健全性のログなどの内部セルフチェックも実行できます。