您的金鑰存取控制清單服務 (KACLS) 是在沒有 Google 參與的情況下設定。以下詳細說明設定服務時的常見設定和最佳做法。
運作設定
- API 應僅透過 HTTPS 搭配傳輸層安全標準 (TLS) 1.2 以上版本,以及有效的 X.509 憑證提供。 
- API 伺服器應處理 CORS,以存取 Google 的授權端點: - https://client-side-encryption.google.com。
- 建議 99% 的要求延遲時間上限為 200 毫秒。 
授權供應商設定
使用下列設定,在用戶端加密 (CSE) 期間驗證 Google 核發的授權權杖:
| Google Workspace 應用程式環境 | JWKS 端點網址 | 授權權杖核發者 | 授權權杖目標對象 | 
|---|---|---|---|
| Google 雲端硬碟和協作內容製作工具,例如 Google 文件和試算表 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com | gsuitecse-tokenissuer-drive@system.gserviceaccount.com | cse-authorization | 
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com | gsuitecse-tokenissuer-meet@system.gserviceaccount.com | cse-authorization | 
| 日曆 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | cse-authorization | 
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | cse-authorization | 
| KACLS 遷移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com | apps-security-cse-kaclscommunication@system.gserviceaccount.com | cse-authorization | 
識別資訊提供者設定
服務搭配使用的每個非 Google 識別資訊提供者 (IdP) 都必須符合下列設定:
- 驗證權杖的方法。權杖通常會透過 JSON Web Key Set (JWKS) 檔案的網址進行驗證,但也可以是公開金鑰本身。
- 核發者和目標對象值:每個身分識別提供者使用的 iss(核發者) 和aud(目標對象) 欄位值。
周邊設定
Google Workspace 用戶端加密 (CSE) 的周邊概念,是透過 KACLS 提供加密金鑰的存取權控管。周邊是針對 KACLS 內驗證和授權權杖執行的選用額外檢查。
你可以使用邊界執行下列操作:
- 僅允許許可網域中的使用者解密金鑰。
- 將使用者 (例如 Google Workspace 管理員) 加入封鎖名單。
- 提供進階限制。例如:- 為待命員工或休假人員設定時間限制
- 地理位置限制,可防止特定位置或網路存取
- 根據身分識別提供者聲明的角色或類型授予存取權
 
驗證 KACLS 設定
如要檢查 KACLS 是否已啟用且設定正確無誤,請傳送 status 要求。您也可以執行內部自我檢查,例如 KMS 可存取性或記錄系統健康狀態。