Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi layanan Anda

Key Access Control List Service (KACLS) Anda dikonfigurasi tanpa keterlibatan Google. Di bawah ini adalah detail tentang setelan umum dan praktik terbaik untuk mengonfigurasi layanan Anda.

Setelan operasional

API hanya boleh tersedia melalui HTTPS dengan TLS 1.2 atau yang lebih baru dengan sertifikat X.509 yang valid.
Server API harus menangani CORS untuk mengakses endpoint resmi Google: https://client-side-encryption.google.com.
Sebaiknya gunakan latensi maksimum 200 md untuk 99% permintaan.

Setelan penyedia otorisasi

Gunakan setelan di bawah untuk memvalidasi token otorisasi yang dikeluarkan Google selama enkripsi sisi klien (CSE):

Konteks aplikasi Google Workspace	URL endpoint JWKS	Penerbit token otorisasi	Audiens token otorisasi
Google Drive dan alat pembuat konten kolaboratif, seperti Dokumen dan Spreadsheet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
MTU Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE Kalender	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
Migrasi KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

Setelan Penyedia Identitas

Setelan di bawah diperlukan untuk setiap Penyedia Identitas (IdP) non-Google yang digunakan layanan Anda:

Metode untuk memvalidasi token. Token biasanya divalidasi dengan URL ke file JSON Web Key Set (JWKS), tetapi juga dapat berupa kunci publik itu sendiri.
Nilai penerbit dan audiens: Nilai kolom iss (penerbit) dan aud (audiens) yang digunakan oleh setiap Penyedia Identitas.

Setelan perimeter

Konsep perimeter dalam Enkripsi sisi klien (CSE) Google Workspace digunakan untuk memberikan kontrol akses ke kunci enkripsi melalui KACLS. Perimeter adalah pemeriksaan tambahan opsional yang dilakukan pada token autentikasi dan otorisasi dalam KACLS.

Perimeter dapat digunakan untuk:

Hanya izinkan pengguna di domain yang diizinkan untuk mendekripsi kunci.
Pengguna dalam daftar yang tidak diizinkan, seperti administrator Google Workspace.
Berikan pembatasan lanjutan. Misalnya:
- Pembatasan berbasis waktu untuk karyawan yang menelepon atau orang yang sedang berlibur
- Pembatasan geolokasi untuk mencegah akses dari lokasi atau jaringan tertentu
- Akses berbasis peran atau jenis pengguna, seperti yang dinyatakan oleh Penyedia Identitas

Memverifikasi konfigurasi KACLS Anda

Untuk memeriksa apakah KACLS Anda aktif dan dikonfigurasi dengan benar, kirim permintaan status. Pemeriksaan mandiri internal, seperti aksesibilitas KMS atau kondisi sistem logging, juga dapat dilakukan.