Esta página foi traduzida pela API Cloud Translation.

Configurar o serviço

Seu serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é configurado sem o envolvimento do Google. Veja abaixo detalhes sobre configurações comuns e práticas recomendadas para configurar o serviço.

Configurações operacionais

A API só deve estar disponível por HTTPS com TLS 1.2 ou mais recente com um certificado X.509 válido.
O servidor de API precisa processar o CORS para acessar o endpoint autorizado do Google: https://client-side-encryption.google.com.
Recomendamos uma latência máxima de 200 ms para 99% das solicitações.

Configurações do provedor de autorização

Use as configurações abaixo para validar os tokens de autorização emitidos pelo Google durante a criptografia do lado do cliente (CSE):

Contexto do aplicativo Google Workspace	URL do endpoint JWKS	Emissor do token de autorização	Público-alvo do token de autorização
Google Drive e ferramentas de criação de conteúdo colaborativa, como o Documentos e o Planilhas	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`

Configurações do Provedor de identidade

As configurações abaixo são necessárias para cada provedor que não seja do Google (IdP) com que seu serviço trabalha:

Método para validar tokens. Normalmente, os tokens são validados pelo URL em um arquivo JSON Web Key Set (JWKS), mas também podem ser as próprias chaves públicas.
Valores de emissor e de público-alvo:os valores de campo iss (emissor) e aud (público-alvo) usados por cada provedor de identidade.

Configurações do perímetro

O conceito de perímetro na criptografia do lado do cliente (CSE) do Google Workspace é usado para fornecer controle de acesso às chaves de criptografia via KACLS. Os perímetros são verificações adicionais opcionais realizadas nos tokens de autenticação e autorização no KACLS.

Os perímetros podem ser usados para:

Só permita que usuários em domínios na lista de permissões descriptografem chaves.
Adicionar usuários à lista de bloqueio, como administradores do Google Workspace
Fornecer restrições avançadas Exemplo:
- Restrições de funcionários ou funcionários de férias
- Restrições de geolocalização para impedir o acesso a locais ou redes específicos.
- Acesso com base em papel ou tipo de usuário, conforme declarado por um provedor de identidade.

Verificar a configuração do KACLS

Para verificar se o KACLS está ativo e configurado corretamente, envie uma solicitação status. Também é possível fazer autoverificações internas, como a acessibilidade do KMS ou a integridade do sistema de geração de registros.